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Предисловие 


Почему два названия? 


В 2014-2018 книга называлась “Reverse Engineering для начинающих”, но я BCE- 
гда подозревал что это слишком сужает аудиторию. 


Люди от инфобезопасности знают о “reverse engineering”, но я от них редко 
слышу слово “ассемблер”. 


Точно также, термин “reverse engineering” слишком незнакомый для общей 
аудитории программистов, но они знают про “ассемблер”. 


В июле 2018, для эксперимента, я заменил название на “Assembly Language for 
Beginners” и запостил ссылку на сайт Hacker News, и книгу приняли, в общем, 
хорошо. 


Так что, пусть так и будет, у книги будет два названия. 


Хотя, я поменял второе название на “Understanding Assembly Language” (“По- 
нимание языка ассемблера”), потому что кто-то уже написал книгу “Assembly 
Language for Beginners”. Также, люди говорят что “для начинающих” уже зву- 
чит немного саркастично для книги объемом в —1000 страниц. 


Книги отличаются только названием, именем файла (UAL-XX.pdf n RE4B-XX.pdf), 
ИВЕ-ом и парой первых страниц. 


О reverse engineering 


У термина «reverse engineering» несколько популярных значений: 1) исследо- 
вание скомпилированных программ; 2) сканирование трехмерной модели для 
последующего копирования; 3) восстановление структуры СУБД. 


Настоящая книга связана с первым значением. 


Желательные знания перед началом чтения 

Очень желательно базовое знание ЯП” Си. Рекомендуемые материалы: 11.1.3 
(стр. 1269). 

Упражнения и задачи 


...Все перемещены на отдельный сайт: һїїр: //сһа11епдеѕ. ге. 


Отзывы об этой книге 


һіЕрѕ: //Бед1ппег$ . ге/#ргаіѕе. 


ŝhttps://news.ycombinator .com/item?id=17549050 
7Язык Программирования 
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хіх 
А: Нет, примерно на таком же уровне, как и остальные книги посвященные 
этой теме. 


О: Мне страшно начинать читать эту книгу, здесь более 1000 страниц. ”... для 
начинающих” в названии звучит слегка саркастично. 


А: Основная часть книги это масса разных листингов. И эта книга действитель- 
но для начинающих, тут многого (пока) не хватает. 


О: Что необходимо знать перед чтением книги? 
А: Желательно иметь базовое понимание Си/Си++. 
О: Должен ли я изучать сразу х86/х64/АВМ и MIPS? Это не многовато? 


А: Для начала, вы можете читать только о х86/х64, пропуская/пролистывая ча- 
сти о ARM/MIPS. 


О: Возможно ли купить русскую/английскую бумажную книгу? 


А: К сожалению нет, пока ни один издатель не заинтересовался в издании рус- 
ской или английской версии. А пока вы можете распечатать/переплести её в 
вашем любимом копи-шопе/копи-центре. https : / /уигісһеу. сот/пемѕ/20200222 
printed_RE4B/. 


Q: Существует ли версия epub/mobi? 


А: Книга очень сильно завязана на специфические для TeX/LaTeX хаки, поэтому 
преобразование в HTML (ерир/тобі это набор HTML) легким не будет. 


О: Зачем в наше время нужно изучать язык ассемблера? 


А: Если вы не разработчик ОС?°, вам наверное не нужно писать на ассемблере: 

современные компиляторы (2010-ые) оптимизируют код намного лучше чело- 
26 

века ^°. 


К тому же, современные CPU?” это крайне сложные устройства и знание ассем- 
блера вряд ли поможет узнать их внутренности. 


Но все-таки остается по крайней мере две области, где знание ассемблера 
может хорошо помочь: 1) исследование malware (зловредов) с целью анали- 
за; 2) лучшее понимание вашего скомпилированного кода в процессе отладки. 
Таким образом, эта книга предназначена для тех, кто хочет скорее понимать 
ассемблер, нежели писать на нем, и вот почему здесь масса примеров, связан- 
ных с результатами работы компиляторов. 


О: Я кликнул на ссылку внутри РОЕ-документа, как теперь вернуться назад? 


А: В Adobe Acrobat Reader нажмите сочетание Alt+LeftArrow. В Еміпсе кликните 
на “<”. 


О: Могу ли я распечатать эту книгу? Использовать её для обучения? 


25Операционная Система 

260чень хороший текст на эту тему: [Agner Fog, The microarchitecture of Intel, AMD and МА СРИ5, 
(2016)] 

27Central Processing Unit 
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хх 


А: Конечно, поэтому книга и лицензирована под лицензией Creative Commons 
(СС BY-SA 4.0). 


О: Почему эта книга бесплатная? Вы проделали большую работу. Это подозри- 
тельно, как и многие другие бесплатные вещи. 


А: По моему опыту, авторы технической литературы делают это, в основном 
ради саморекламы. Такой работой заработать приличные деньги невозможно. 


О: Как можно найти работу reverse епдіпеег-а? 


А: На reddit, посвященному ВЕ?8, время от времени бывают hiring thread. Mo- 
смотрите там. 


В смежном субреддите «пеї<ес» имеется похожий тред. 
О: У меня есть вопрос... 


А: Напишите мне его емейлом (мои адреса). 


О переводе на корейский язык 


В январе 2015, издательство Асогп в Южной Корее сделало много работы в 
переводе и издании моей книги (по состоянию на август 2014) на корейский 
язык. Она теперь доступна на их сайте. 


Переводил Byungho Min (twitter/tais9). Обложку нарисовал мой хороший знако- 
мый художник Андрей Нечаевский ѓасероок/апаудіпка. Они также имеют права 
на издание книги на корейском языке. Так что если вы хотите иметь настоя- 
щую книгу на полке на корейском языке и хотите поддержать мою работу, вы 
можете купить её. 


О переводе на персидский язык (фарси) 


В 2016 году книга была переведена Mohsen Mostafa Jokar (который также изве- 
стен иранскому сообществу по переводу руководства Вадаге??). Книга доступ- 
на на сайте издательства3° (Репааге Pars). 


Первые 40 страниц: П1{р$ : //бедіппегѕ. ге/Таг$1 .рат. 


Регистрация книги в Национальной Библиотеке Ирана: http://opac.nlai.ir/ 
орас-рго9/6161109гарй1с/4473995. 


О переводе на китайский язык 


В апреле 2017, перевод на китайский был закончен китайским издательством 
РТРгеѕѕ. Они также имеют права на издание книги на китайском языке. 


Она доступна для заказа здесь: http://www. epubit.com.cn/book/details/4174. 
Что-то вроде рецензии и история о переводе: һїїр: //мммм. срТодау. сп/пемѕ/ 
Чефа11/3155. 

28reddit.com/r/ReverseEngineering/ 
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хх! 


Основным переводчиком был Агсһег, перед которым я теперь в долгу. Он был 
крайне дотошным (в хорошем смысле) и сообщил о большинстве известных 
ошибок и баг, что крайне важно для литературы вроде этой книги. Я буду ре- 
комендовать его услуги всем остальным авторам! 


Ребята из Antiy Labs также помогли с переводом. Здесь предисловие написан- 
ное ими. 


Не устарела ли эта книга? 


Меня часто спрашивают: Почему в книге RE4B слишком старые версии компи- 
ляторов? Не устарела ли сама книга? 


Потому что работа над ней была начата еще в начале 2010. (Поэтому местами 
даже используется MSVC 2008.) 


Нет, не устарела, потому что: 


1) Компиляторы меняются не так уж и быстро, так что код создаваемый MSVC 
2010 и самым последним может не так уж и сильно отличаться. 


2) То, что вы будете реверсить (malware, и тот софт, в котором будете искать 
уязвимости), понятно дело, не всегда компилируется свежими компилятора- 
ми. 


На моей памяти, Oracle RDBMS (когда я еще им занимался) собирался стары- 
ми версиями Intel С++. Есть подозрение, что последние версии Windows тоже 
далеко не всегда собираются последними версиями MSVC. 


А следовать всем шагам в книге в точности не обязательно, поэтому не так 
уж и важно использовать те же компиляторы. Пользуйтесь теми компилято- 
рами, которые уже инсталлированы в вашу OS. А также, всегда есть Compiler 
Ехр!огег. 
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Глава 1 


Образцы кода 


1.1. Метод 


Когда автор этой книги учил Си, а затем Си++, он просто писал небольшие 
фрагменты кода, компилировал и смотрел, что получилось на ассемблере. Так 
было намного проще понять". Он делал это такое количество раз, что связь 
между кодом на Си/Си+ +и тем, что генерирует компилятор, вбилась в его nog- 
сознание достаточно глубоко. После этого не трудно, глядя на код на ассем- 
блере, сразу в общих чертах понимать, что там было написано на Си. Возможно 
это поможет кому-то ещё. 


Иногда здесь используются достаточно древние компиляторы, чтобы получить 
самый короткий (или простой) фрагмент кода. 


Кстати, есть очень неплохой вебсайт где можно делать всё то же самое, с раз- 
ными компиляторами, вместо того чтобы инсталлировать их у себя. Вы можете 
использовать и его: http://godbolt.org/. 


Упражнения 


Когда автор этой книги учил ассемблер, он также часто компилировал корот- 
кие функции на Си и затем постепенно переписывал их на ассемблер, с целью 
получить как можно более короткий код. Наверное, этим не стоит заниматься 
в наше время на практике (потому что конкурировать с современными компи- 
ляторами в плане эффективности очень трудно), но это очень хороший способ 
разобраться в ассемблере лучше. Так что вы можете взять любой фрагмент 
кода на ассемблере в этой книге и постараться сделать его короче. Но не за- 
бывайте о тестировании своих результатов. 


1Честно говоря, он и до сих пор так делает, когда не понимает, как работает некий код. Недав- 
ний пример из 2019-го года: р += р+(1&1)+2; из ЅАТ-солвера “SATOW” написанного Д.Кнутом. 
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Уровни оптимизации и отладочная информация 


Исходный код можно компилировать различными компиляторами с различны- 
ми уровнями оптимизации. В типичном компиляторе этих уровней около трёх, 
где нулевой уровень — отключить оптимизацию. Различают также уровни оп- 
тимизации кода по размеру и по скорости. Неоптимизирующий компилятор 
работает быстрее, генерирует более понятный (хотя и более объемный) код. 
Оптимизирующий компилятор работает медленнее и старается сгенерировать 
более быстрый (хотя и не обязательно краткий) код. Наряду с уровнями опти- 
мизации компилятор может включать в конечный файл отладочную информа- 
цию, производя таким образом код, который легче отлаживать. Одна очень 
важная черта отладочного кода в том, что он может содержать связи между 
каждой строкой в исходном коде и адресом в машинном коде. Оптимизиру- 
ющие компиляторы обычно генерируют код, где целые строки из исходного 
кода могут быть оптимизированы и не присутствовать в итоговом машинном 
коде. Практикующий reverse engineer обычно сталкивается с обеими версия- 
ми, потому что некоторые разработчики включают оптимизацию, некоторые 
другие — нет. Вот почему мы постараемся поработать с примерами для обеих 
версий. 


1.2. Некоторые базовые понятия 


1.2.1. Краткое введение в СРО 


СРО это устройство исполняющее все программы. 
Немного терминологии: 


Инструкция : примитивная команда СРО. Простейшие примеры: перемеще- 
ние между регистрами, работа с памятью, примитивные арифметические 
операции. Как правило, каждый СРО имеет свой набор инструкций (ISA). 


Машинный код : код понимаемый СРО. Каждая инструкция обычно кодиру- 
ется несколькими байтами. 


Язык ассемблера : машинный код плюс некоторые расширения, призванные 
облегчить труд 
программиста: макросы, имена, и т. д. 


Регистр СРО : Каждый CPU имеет некоторый фиксированный набор регистров 
общего назначения (СРВ?). х 8 в х86, = 16 в х86-64, ~ 16 в ARM. Проще всего 
понимать регистр как временную переменную без типа. Можно предста- 
вить, что вы пишете на ЯП высокого уровня и у вас только 8 переменных 
шириной 32 (или 64) бита. Можно сделать очень много используя только 
их! 


Откуда взялась разница между машинным кодом и ЯП высокого уровня? Ответ 
в том, что люди и СРО-ы отличаются друг от друга — человеку проще писать 


2Сепега! Purpose Registers (регистры общего пользования) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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на ЯП высокого уровня вроде Си/Си++, Java, Python, а СРО проще работать с aô- 
стракциями куда более низкого уровня. Возможно, можно было бы придумать 
СРУ исполняющий код ЯП высокого уровня, но он был бы значительно сложнее, 
чем те, что мы имеем сегодня. И наоборот, человеку очень неудобно писать на 
ассемблере из-за его низкоуровневости, к тому же, крайне трудно обойтись 
без мелких ошибок. Программа, переводящая код из ЯП высокого уровня в ас- 
семблер называется компилятором 3. 


Несколько слов о разнице между 15А 


х86 всегда был архитектурой с инструкциями переменной длины, так что ко- 
гда пришла 64-битная эра, расширения x64 не очень сильно повлияли на ISA. 
ARM это В!5С*-процессор разработанный с учетом инструкций одинаковой ANN- 
ны, что было некоторым преимуществом в прошлом. Так что в самом начале 
все инструкции ARM кодировались 4-мя байтами°. Это то, что сейчас называет- 
ся «режим АВМ». Потом они подумали, что это не очень экономично. На самом 
деле, самые используемые инструкцииб процессора на практике могут быть 
закодированы с использованием меньшего количества информации. Так что 
они добавили другую ISA с названием Thumb, где каждая инструкция кодиру- 
ется всего лишь 2-мя байтами. Теперь это называется «режим Thumb». Но не 
все инструкции АВМ могут быть закодированы в двух байтах, так что набор 
инструкций Thumb ограниченный. Код, скомпилированный для режима ARM и 
Thumb может сосуществовать в одной программе. Затем создатели АВМ реши- 
ли, что Thumb можно расширить: так появился ТВит6-2 (в АВМУ?7). Thumb-2 
это всё ещё двухбайтные инструкции, но некоторые новые инструкции имеют 
длину 4 байта. Распространено заблуждение, что Thumb-2 — это смесь АВМ и 
Thumb. Это не верно. Режим Thumb-2 был дополнен до более полной поддерж- 
ки возможностей процессора и теперь может легко конкурировать с режимом 
ARM. Основное количество приложений для iPod/iPhone/iPad скомпилировано 
для набора инструкций Thumb-2, потому что Xcode делает так по умолчанию. 
Потом появился 64-битный АВМ. Это 15А снова с 4-байтными инструкциями, 
без дополнительного режима Thumb. Но 64-битные требования повлияли на 
ISA, так что теперь у нас З набора инструкций ARM: режим ARM, режим Thumb 
(включая Thumb-2) и ARM64. Эти наборы инструкций частично пересекаются, 
но можно сказать, это скорее разные наборы, нежели вариации одного. Следо- 
вательно, в этой книге постараемся добавлять фрагменты кода на всех трех 
ARM ISA. Существует ещё много RISC ISA с инструкциями фиксированной 32- 
битной длины — это как минимум MIPS, PowerPC и Alpha АХР. 


ЗВ более старой русскоязычной литературе также часто встречается термин «транслятор». 

Reduced Instruction Set Computing 

5Кстати, инструкции фиксированного размера удобны тем, что всегда можно легко узнать ад- 
рес следующей (или предыдущей) инструкции. Эта особенность будет рассмотрена в секции об 
операторе switch() (1.21.2 (стр. 225)). 

6A это МОМ/РОЅН/САШЈсс 
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1.2.2. Представление чисел 


Nowadays octal numbers seem {о be used 
for exactly one purpose— file permissions оп 
POSIX systems—but hexadecimal numbers 
are widely used to emphasize the bit pattern 
of a number over its numeric value. 


Alan A. A. Donovan, Brian W. Kernighan — 
The Go Programming Language 


Люди привыкли к десятичной системе счисления вероятно потому что почти у 
каждого есть по 10 пальцев. Тем не менее, число 10 не имеет особого значе- 
ния в науке и математике. Двоичная система естественна для цифровой элек- 
троники: 0 означает отсутствие тока в проводе и 1 — его присутствие. 10 в 
двоичной системе это 2 в десятичной; 100 в двоичной это 4 в десятичной, и т. 
д. 


Если в системе счисления есть 10 цифр, её основание или radix это 10. Двоич- 
ная система имеет основание 2. 


Важные вещи, которые полезно вспомнить: 1) число это число, в то время как 
цифра это термин из системы письменности, и это обычно один символ; 2) са- 
мо число не меняется, когда конвертируется из одного основания в другое: 
меняется способ его записи. 


Как сконвертировать число из одного основания в другое? 


Позиционная нотация используется почти везде, это означает, что всякая циф- 
ра имеет свой вес, в зависимости от её расположения внутри числа. Если 2 
расположена в самом последнем месте справа, это 2. Если она расположена в 
месте перед последним, это 20. 


Что означает 1234? 
103.1+102.2+10'.3-+1.4 = 1234 или 1000.1 - 100.2-+10.3+4 = 1234 


Та же история и для двоичных чисел, только основание там 2 вместо 10. Что 
означает 06101011? 


25.14 24.0+23.1+22.0+21.1+20.1 = 43 или 32.1+16.0+8.1+4.0+2.1+1=43 


Позиционную нотацию можно противопоставить непозиционной нотации, та- 
кой как римская система записи чисел 7. Вероятно, человечество перешло на 
позиционную нотацию, потому что так проще работать с числами (сложение, 
умножение, ит. д.) на бумаге, в ручную. 


Действительно, двоичные числа можно складывать, вычитать, и т. д., точно 
также, как этому обычно обучают в школах, только доступны лишь 2 цифры. 


Двоичные числа громоздки, когда их используют в исходных кодах и дампах, 
так что в этих случаях применяется шестнадцатеричная система. Используют- 
ся цифры 0..9 и еще 6 латинских букв: A..F. Каждая шестнадцатеричная цифра 


706 эволюции способов записи чисел, см.также: [Donald Е. Knuth, The Art of Computer 
Programming, Volume 2, 3rd ed., (1997), 195-213.] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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занимает 4 бита или 4 двоичных цифры, так что конвертировать из двоичной 
системы в шестнадцатеричную и назад, можно легко вручную, или даже в уме. 


шестнадцатеричная | двоичная | десятичная 
0 0000 0 
1 0001 1 
2 0010 2 
3 0011 3 
4 0100 4 
5 0101 5 
6 0110 6 
7 0111 7 
8 1000 8 
9 1001 9 
A 1010 10 
B 1011 11 
C 1100 12 
D 1101 13 
E 1110 14 
F 1111 15 


Как понять, какое основание используется в конкретном месте? 


Десятичные числа обычно записываются как есть, T.e., 1234. Но некоторые ac- 
семблеры позволяют подчеркивать этот факт для ясности, и это число может 
быть дополнено суффиксом ”d”: 12344. 


К двоичным числам иногда спереди добавляют префикс "06": 06100110111 (В 
GCC для этого есть нестандартное расширение языка 3). Есть также еще один 
способ: суффикс "Б”, например: 1001101115. В этой книге я буду пытаться Npn- 
держиваться префикса ”06” для двоичных чисел. 


Шестнадцатеричные числа имеют префикс "Ох” в Си/Си+ +и некоторых других 
ЯП: 0х1234АВСР. Либо они имеют суффикс ”h”: 1234АВСОҺ — обычно так они 
представляются в ассемблерах и отладчиках. Если число начинается с циф- 
ры A..F, перед ним добавляется 0: ОАВСРЕЕЋ. Во времена 8-битных домашних 
компьютеров, был также способ записи чисел используя префикс $, например, 
$АВСО. В книге я попытаюсь придерживаться префикса ”Ох” для шестнадца- 
теричных чисел. 


Нужно ли учиться конвертировать числа в уме? Таблицу шестнадцатеричных 
чисел из одной цифры легко запомнить. А запоминать большие числа, навер- 
ное, не стоит. 


Наверное, чаще всего шестнадцатеричные числа можно увидеть в УВ 9-ах. 
Так кодируются буквы не из числа латинских. Например: https://en.wiktionary. 
org/wiki/na%C3%AFvet%C3%A9 это URL страницы B Wiktionary о слове «naïveté». 


8GNU Compiler Collection 
Ihttps://gcc.gnu.org/onlinedocs/gcc/Binary-constants.html 
100піғогт Resource Locator 
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Восьмеричная система 


Еще одна система, которая в прошлом много использовалась в программиро- 
вании это восьмеричная: есть 8 цифр (0..7) и каждая описывает 3 бита, так 
что легко конвертировать числа туда и назад. Она почти везде была заменена 
шестнадцатеричной, но удивительно, в *МІХ имеется утилита использующаяся 
многими людьми, которая принимает на вход восьмеричное число: chmod. 


Как знают многие пользователи *МІХ, аргумент chmod это число из трех цифр. 
Первая цифра это права владельца файла, вторая это права группы (которой 
файл принадлежит), третья для всех остальных. И каждая цифра может быть 
представлена в двоичном виде: 


десятичная | двоичная | значение 
7 111 rwx 

6 110 rw- 

5 101 г-х 

4 100 г-- 

3 011 -WX 

2 010 -W- 

1 001 --X 

0 000 --- 


Так что каждый бит привязан к флагу: read/write/execute (чтение/запись/испол- 
нение). 


И вот почему я вспомнил здесь о chmod, это потому что всё число может быть 
представлено как число в восьмеричной системе. Для примера возьмем 644. 
Когда вы запускаете chmod 644 file, вы выставляете права read/write для вла- 
дельца, права геаа для группы, и снова, геаа для всех остальных. Сконвертиру- 
ем число 644 из восьмеричной системы в двоичную, это будет 110100100, или 
(в группах по З бита) 110 100 100. 


Теперь мы видим, что каждая тройка описывает права для владельца/группы- 
/остальных: первая это гм-, вторая это г- - и третья это г- -. 


Восьмеричная система была также популярная на старых компьютерах вроде 
РОР-8, потому что слово там могло содержать 12, 24 или 36 бит, и эти числа 
делятся на 3, так что выбор восьмеричной системы в той среде был логичен. 
Сейчас, все популярные компьютеры имеют размер слова/адреса 16, 32 или 
64 бита, и эти числа делятся на 4, так что шестнадцатеричная система здесь 
удобнее. 


Восьмеричная система поддерживается всеми стандартными компиляторами 
Си/Си++. Это иногда источник недоумения, потому что восьмеричные числа 
кодируются с нулем вперед, например, 0377 это 255. И иногда, вы можете 
сделать опечатку, и написать 09” вместо 9, и компилятор выдаст ошибку. ССС 
может выдать что-то вроде: 

error: invalid digit "9" іп octal constant. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Также, восьмеричная система популярна в Java: когда IDA показывает строку 
с непечатаемыми символами, они кодируются в восьмеричной системе вместо 
шестнадцатеричной. Точно также себя ведет декомпилятор с java ЈАР. 


Делимость 


Когда вы видите десятичное число вроде 120, вы можете быстро понять что 
оно делится на 10, потому что последняя цифра это 0. Точно также, 123400 
делится на 100, потому что две последних цифры это нули. 


Точно также, шестнадцатеричное число 0х1230 делится на 0х10 (или 16), 0х123000 
делится на 0х1000 (или 4096), ит. д. 


Двоичное число 061000101000 делится на 061000 (8), ит. д. 


Это свойство можно часто использовать, чтобы быстро понять, что длина какого- 
либо блока в памяти выровнена по некоторой границе. Например, секции в 
РЕ"-файлах почти всегда начинаются с адресов заканчивающихся 3 шестна- 
дцатеричными нулями: 0х41000, 0х10001000, ит. д. Причина в том, что почти 
все секции в РЕ выровнены по границе 0х1000 (4096) байт. 


Арифметика произвольной точности и основание 


Арифметика произвольной точности (multi-precision arithmetic) может исполь- 
зовать огромные числа, которые могут храниться в нескольких байтах. Напри- 
мер, ключи RSA, и открытые и закрытые, могут занимать до 4096 бит и даже 
больше. 


В [Donald Е. Knuth, The Art of Computer Programming, Volume 2, 3rd ed., (1997), 
265] можно найти такую идею: когда вы сохраняете число произвольной TOY- 
ности в нескольких байтах, всё число может быть представлено как имеющую 
систему счисления по основанию 28 = 256, и каждая цифра находится в соответ- 
ствующем байте. Точно также, если вы сохраняете число произвольной точно- 
сти в нескольких 32-битных целочисленных значениях, каждая цифра отправ- 
ляется в каждый 32-битный слот, и вы можете считать что это число записано 
в системе с основанием 222. 


Произношение 


Числа в недесятичных системах счислениях обычно произносятся по одной 
цифре: “один-ноль-ноль-один-один-...”. Слова вроде “десять”, “тысяча”, ит. д., 
обычно не произносятся, потому что тогда можно спутать с десятичной систе- 


мой. 


Числа с плавающей запятой 


Чтобы отличать числа с плавающей запятой от целочисленных, часто, в конце 
добавляют “.0”, например 0.0, 123.0, ит. д. 


11Portable Executable 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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1.3. Пустая функция 


Простейшая функция из всех возможных, это функция, которая ничего не де- 
лает: 


Листинг 1.1: Код на Си/Си++ 


void f() 
{ 


}; 


return; 


Скомпилируем! 


1.3.1. х86 
Для x86 и MSVC и ССС делает одинаковый код: 


Листинг 1.2: Оптимизирующий ССС/М$УС (вывод на ассемблере) 


геї 


Тут только одна инструкция: ВЕТ, которая возвращает управление в вызываю- 
щую ф-цию. 


1.3.2. АКМ 
Листинг 1.3: Оптимизирующий Кей 6/2013 (Режим ARM) ASM Output 
f PROC 
BX lr 
ENDP 


Адрес возврата (RA?) в ARM не сохраняется в локальном стеке, а в регистре 
ІА!3. Так что инструкция ВХ LR делает переход по этому адресу, и это то же 
самое что и вернуть управление в вызывающую ф-цию. 


1.3.3. MIPS 


Есть два способа называть регистры в мире MIPS. По номеру (от $0 до $31) или 
по псевдоимени ($\0, $А0, ит. д.). 


Вывод на ассемблере в ССС показывает регистры по номерам: 


Листинг 1.4: Оптимизирующий ССС 4.4.5 (вывод на ассемблере) 


j $31 
nop 


12Адрес возврата 
13Link Register 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


...а IDA}t4— по псевдоименам: 


Листинг 1.5: Оптимизирующий ССС 4.4.5 (IDA) 


3 $га 
пор 


Первая инструкция — это инструкция перехода (J или JR), которая возвращает 
управление в вызывающую ф-цию, переходя по адресу в регистре $31 (или 
$ВА). 


Это аналог регистра LR в ARM. 


Вторая инструкция это МОР'°, которая ничего не делает. Пока что мы можем 
её игнорировать. 


Еще кое-что об именах инструкций и регистров в МІРЅ 


Имена регистров и инструкций в мире MIPS традиционно пишутся в нижнем 
регистре. Но мы будем использовать верхний регистр, потому что имена ин- 
струкций и регистров других ISA в этой книге так же в верхнем регистре. 


1.3.4. Пустые функции на практике 


Не смотря на то, что пустые функции бесполезны, они довольно часто встре- 
чаются в низкоуровневом коде. 


Во-первых, популярны функции, выводящие информацию в отладочный лог, 
например: 


Листинг 1.6: Код на Си/Си++ 


void 969 ргіпі (const char ж*їтї, ...) 
{ 
#ifdef _ОЕВИС 

// открыть лог-файл 

// записать в лог -файл 

// закрыть лог-файл 


#епаі? 
}; 
void some Типсї1оп() 
{ 
ара ргіпі ("ме діа ѕотеһіпд\ п"); 
}; 


14 Интерактивный дизассемблер и отладчик, разработан Нех-Вау$ 
15Мо Operation 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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В не-отладочной сборке (например, “гееазе”), DEBUG не определен, так что 
функция ард ргіпї(), не смотря на то, что будет продолжать вызываться в 
процессе исполнения, будет пустой. 


Во-вторых, популярный способ защиты ПО это компиляция нескольких сборок: 
одной для легальных покупателей, второй — демонстрационной. Демонстра- 
ционная сборка может не иметь каких-то важных функций, например: 


Листинг 1.7: Код на Си/Си++ 


void save file () 
{ 
#ifndef DEMO 

// код, сохраняющий что-то 
#епаі? 
}; 


Функция save_file() может быть вызвана, когда пользователь кликает меню 
File->Save. Демо-версия может поставляться с отключенным пунктом меню, 
но даже если кракер разрешит этот пункт, будет вызываться пустая функция, 
в которой полезного кода нет. 


РА маркирует такие функции именами вроде nullsub 00, nullsub_ 01, ит. д. 


1.4. Возврат значения 


Еще одна простейшая функция это та, что возвращает некоторую константу: 
Вот, например: 


Листинг 1.8: Код на Си/Си++ 


int f() 
{ 


}; 


return 123; 


Скомпилируем её. 


1.4.1. х86 


И вот что делает оптимизирующий ССС: 


Листинг 1.9: Оптимизирующий ССС/М5УС (вывод на ассемблере) 


mov eax, 123 
ret 


Здесь только две инструкции. Первая помещает значение 123 в регистр EAX, 
который используется для передачи возвращаемых значений. Вторая это ВЕТ, 
которая возвращает управление в вызывающую функцию. 


Вызывающая функция возьмет результат из регистра ЕАХ. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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1.4.2. ARM 
А что насчет ARM? 


Листинг 1.10: Оптимизирующий Кей 6/2013 (Режим АВМ) ASM Output 


f PROC 
MOV r0,#0x7b ; 123 
BX tr 
ENDP 


ARM использует регистр RO для возврата значений, так что здесь 123 nomea- 
ется в В. 


Нужно отметить, что название инструкции MOV в x86 и ARM сбивает с толку. 


На самом деле, данные не перемещаются, а скорее копируются. 


1.4.3. MIPS 
Вывод на ассемблере в ССС показывает регистры по номерам: 


Листинг 1.11: Оптимизирующий ССС 4.4.5 (вывод на ассемблере) 


j $31 
li $2,123 # 0x7b 


...а І0А— по псевдоименам: 


Листинг 1.12: Оптимизирующий ССС 4.4.5 (IDA) 


jr $ra 
li $\0, 0x7B 


Так что регистр $2 (или $\/0) используется для возврата значений. LI это “Load 
Immediate”, и это эквивалент MOV в MIPS. 


Другая инструкция это инструкция перехода (J или JR), которая возвращает 
управление в вызывающую ф-цию. 


Но почему инструкция загрузки (LI) и инструкция перехода (J или JR) поменяны 
местами? Это артефакт RISC и называется он “branch delay slot”. 


На самом деле, нам не нужно вникать в эти детали. Нужно просто запомнить: в 
MIPS инструкция после инструкции перехода исполняется перед инструкцией 
перехода. 


Таким образом, инструкция перехода всегда поменяна местами с той, которая 
должна быть исполнена перед ней. 
1.4.4. На практике 


На практике крайне часто встречаются ф-ции, которые возвращают 1 (true) 
или 0 (false). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Самые маленькие утилиты UNIX, /bin/true и /bin/false возвращают 0 и 1 соответ- 
ственно, как код возврата (ноль как код возврата обычно означает успех, не 
ноль означает ошибку). 


1.5. Hello, world! 


Продолжим, используя знаменитый пример из книги [Брайан Керниган, Ден- 
нис Ритчи, Язык программирования Си, второе издание, (1988, 2009)]: 


Листинг 1.13: код на Си/Си++ 


#include <stdio.h> 


int main() 

{ 
printf("hello, world\n"); 
return 0; 


1.5.1. x86 
MSVC 
Компилируем в MSVC 2010: 


cl 1.cpp /Fal.asm 


(Ключ /Fa означает сгенерировать листинг на ассемблере) 


Листинг 1.14: MSVC 2010 


CONST SEGMENT 

$563830 DB 'hello, world', OAH, ӨӨН 
CONST ENDS 

PUBLIC _та1п 

ЕХТАМ _printf:PROC 

; Function compile flags: /0а+р 

_TEXT SEGMENT 


_main PROC 
push ebp 
mov ebp, esp 
push OFFSET $563830 
call _printf 
add esp, 4 
xor eax, eax 
pop ebp 
ret 0 

_таіп ЕМОР 

_ТЕХТ ENDS 


MSVC выдает листинги в синтаксисе Intel. Разница между синтаксисом Intel n 
AT&T будет рассмотрена немного позже: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Компилятор сгенерировал файл 1.06], который впоследствии будет слинко- 
ван линкером в 1.ехе. В нашем случае этот файл состоит из двух сегментов: 
CONST (для данных-констант) и _ТЕХТ (для кода). 


Строка hello, world в Си/Си+-+имеет тип const сһаг[ ][Вјагпе Stroustrup, The 
С++ Programming Language, 4th Edition, (2013)р176, 7.3.2], однако не имеет 
имени. Но компилятору нужно как-то с ней работать, поэтому он дает ей внут- 
реннее имя $563830. 


Поэтому пример можно было бы переписать вот так: 


#include <stdio.h> 
const char $563830[]="һе11о‚ world\n"; 


int main() 

{ 
printf ($563830); 
return 0; 


Вернемся к листингу на ассемблере. Как видно, строка заканчивается нулевым 
байтом — это требования стандарта Си/Си++для строк. Больше о строках в 
Си/Си++: 5.4.1 (стр. 901). 


В сегменте кода ТЕХТ находится пока только одна функция: та1п(). Функция 
паіп(), как и практически все функции, начинается с пролога и заканчивается 
эпилогом 16. 


Далее следует вызов функции printf(): CALL printf. Перед этим вызовом 
адрес строки (или указатель на неё) с нашим приветствием (“Hello, world!”) 
при помощи инструкции РОЅН помещается в стек. 


После того, как функция printf () возвращает управление в функцию main(), 
адрес строки (или указатель на неё) всё ещё лежит в стеке. Так как он больше 
не нужен, то указатель стека (регистр ЕЅР) корректируется. 


ADD ESP, 4 означает прибавить 4 к значению в регистре ESP. 


Почему 4? Так как это 32-битный код, для передачи адреса нужно 4 байта. В 
хб4-коде это 8 байт. 

ADD ESP, 4 эквивалентно РОР регистр, но без использования какого-либо pe- 
гистра*”. 


Некоторые компиляторы, например, Intel С++ Compiler, в этой же ситуации MO- 
гут вместо ADD сгенерировать РОР ECX (подобное можно встретить, например, 
в коде Oracle RDBMS, им скомпилированном), что почти то же самое, только 
портится значение в регистре ЕСХ. Возможно, компилятор применяет РОР ЕСХ, 
потому что эта инструкция короче (1 байт у РОР против З у ADD). 


Вот пример использования РОР вместо ADD из Oracle RDBMS: 


1606 этом смотрите подробнее в разделе о прологе и эпилоге функции (1.6 (стр. 40)). 
17Флаги процессора, впрочем, модифицируются 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Листинг 1.15: Oracle RDBMS 10.2 Linux (файл арр.о) 


.Техт:0800029А push ebx 
. text: 03800029B call qksfroChild 
. text: 080002A0 pop ecx 


Впрочем, MSVC был замечен в подобном же. 


Листинг 1.16: Міпебмеерег из Windows 7 32-bit 


.text:0102106F push 0 
.Техт:01021071 call ds:time 
.text:01021077 pop ecx 


После вызова printf() в оригинальном коде на Си/Си+ +указано return 0 — 
вернуть 0 в качестве результата функции main(). 


В сгенерированном коде это обеспечивается инструкцией 
ХОК ЕАХ, ЕАХ. 


XOR, как легко догадаться — «исключающее ИЛИ»!, но компиляторы часто 
используют его вместо простого MOV EAX, 0 — снова потому, что опкод короче 
(2 байта у ХОК против 5 у MOV). 


Некоторые компиляторы генерируют 50В ЕАХ, ЕАХ, что значит отнять значе- 
ние в ЕАХ от значения в ЕАХ, что в любом случае даст 0 в результате. 


Самая последняя инструкция ВЕТ возвращает управление в вызывающую функ- 
цию. Обычно это код Си/Си+ +СВТ"9, который, в свою очередь, вернёт управле- 
ние в ОС. 


GCC 


Теперь скомпилируем то же самое компилятором GCC 4.4.1 B Linux: gcc 1.c 
-0 1. Затем при помощи IDA посмотрим Kak скомпилировалась функция main(). 
IDA, как и М$\С, показывает код в синтаксисе Intel??, 


Листинг 1.17: код в IDA 


main proc near 

var_10 = dword ptr -10h 
push ebp 
mov ebp, esp 
and esp, OFFFFFFFOh 
sub esp, 10h 
mov eax, offset аНе11омог1а ; "hello, мог1а\п" 
mov [esp+10h+var_10], eax 
call _printf 

l8wikipedia 


19C Runtime library 
20Мы также можем заставить ССС генерировать листинги в этом формате при помощи ключей 
-S -masm=intel. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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тоу еах, 0 
leave 
retn 

main endp 


Почти то же самое. Адрес строки hello, world, лежащей в сегменте данных, 
вначале сохраняется в ЕАХ, затем записывается в стек. А ещё в прологе функ- 
ции мы видим AND ESP, OFFFFFFFOh — эта инструкция выравнивает значение 
в ЕЅР по 16-байтной границе, делая все значения в стеке также выровненны- 
ми по этой границе (процессор более эффективно работает с переменными, 
расположенными в памяти по адресам кратным 4 или 16). 


SUB ESP, 10h выделяет в стеке 16 байт. Хотя, как будет видно далее, здесь 
достаточно только 4. 


Это происходит потому, что количество выделяемого места в локальном стеке 
тоже выровнено по 16-байтной границе. 


Адрес строки (или указатель на строку) затем записывается прямо в стек без 
помощи инструкции PUSH. маг 10 одновременно и локальная переменная и ap- 
гумент для ргіпі?#(). Подробнее об этом будет ниже. 


Затем вызывается ргіпї+ (). 


В отличие от М5\/С, ССС в компиляции без включенной оптимизации генериру- 
ет МО\/ ЕАХ, 0 вместо более короткого опкода. 


Последняя инструкция LEAVE — это аналог команд MOV ESP, ЕВР и РОР ЕВР — 
то есть возврат указателя стека и регистра ЕВР в первоначальное состояние. 
Это необходимо, т.к. в начале функции мы модифицировали регистры Е$Р и 
ЕВР 

(при помощи MOV ЕВР, ESP / AND ESP, ...). 


ССС: Синтаксис АТ&Т 


Попробуем посмотреть, как выглядит то же самое в синтаксисе АТ&Т языка 
ассемблера. Этот синтаксис больше распространен в ОМІХ-мире. 


Листинг 1.18: компилируем в ССС 4.7.3 


gcc -S 1 1.c 


Получим такой файл: 


Листинг 1.19: ССС 4.7.3 


„file "11.с" 


.section . rodata 
.LCO: 

.Ѕігіпд "hello, world\n" 

. text 

.globl main 

‚туре main, @function 
main: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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. LFBO: 
.Cfi_startproc 
pushl %ebp 
.cCfi_def_cfa_offset 8 
.cCfi_offset 5, -8 
movl %esp, %ebp 
.cfi_def_cfa_register 5 
andl $-16, %esp 
subl $16, %esp 
movl $.1С0, (%esp) 
call printf 
movl $0, %eax 
leave 
.cCfi_restore 5 
.cfi_def_cfa 4, 4 
ret 
.Cfi_endproc 

. LFEQ: 
.size main, .-та1п 
.іаепї "GCC: (Ubuntu/Linaro 4.7.3-lubuntul) 4.7.3" 
. section . note .GNU-stack,"",@progbits 


Здесь много макросов (начинающихся с точки). Они нам пока не интересны. 


Пока что, ради упрощения, мы можем их игнорировать (кроме макроса .5тд, 
при помощи которого кодируется последовательность символов, оканчиваю- 
щихся нулем — такие же строки как в Си). И тогда получится следующее 21: 


Листинг 1.20: ССС 4.7.3 


.LCO: 
.String "hello, world\n" 
main: 
pushl %ерр 
movl %esp, %ebp 
andl $-16, %esp 
subl $16, %esp 
movl $.1С0, (%esp) 
call printf 
movl $0, %eax 
leave 
ret 


Основные отличия синтаксиса Intel n AT&T следующие: 
• Операнды записываются наоборот. 


В п{е|-синтаксисе: 
<инструкция> <операнд назначения> <операнд-источник>. 


В АТ&Т-синтаксисе: 
<инструкция> <операнд-источник> <операнд назначения>. 


21Кстати, для уменьшения генерации «лишних» макросов, можно использовать такой ключ ССС 
-fno-asynchronous-unwind-tables 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Чтобы легче понимать разницу, можно запомнить следующее: когда вы 
работаете с синтаксисом Intel — можете в уме ставить знак равенства 
(=) между операндами, а когда с синтаксисом АТ&Т — мысленно ставьте 
стрелку направо (>) 22. 


• АТ&Т: Перед именами регистров ставится символ процента (%), а перед 
числами символ доллара ($). Вместо квадратных скобок используются круг- 
лые. 


• AT&T: К каждой инструкции добавляется специальный символ, определя- 
ющий тип данных: 


а — ачаа (64 бита) 


| — long (32 бита) 
w — мога (16 бит) 
р — byte (8 бит) 


Возвращаясь к результату компиляции: он идентичен тому, который мы по- 
смотрели в IDA. Одна мелочь: OFFFFFFFOh записывается как $-16. Это то же 
самое: 16 в десятичной системе это 0х10 в шестнадцатеричной. -0х10 будет 
как раз 0хЕЕЕЕЕЕЕӨ® (в рамках 32-битных чисел). 


Возвращаемый результат устанавливается в 0 обычной инструкцией MOV, а не 
XOR. MOV просто загружает значение в регистр. Её название не очень удачное 
(данные не перемещаются, а копируются). В других архитектурах подобная 
инструкция обычно носит название «LOAD» или «STORE» или что-то в этом pO- 
де. 


Коррекция (патчинг) строки (Win32) 


Мы можем легко найти строку “hello, world” в исполняемом файле при помощи 
Нем: 


С: \+тр\һћм ѕрапіѕһ.ехе ЕМО РЕ+.00000001` 40003000 |Ніем 8.02 


Рис. 1.1: Нем 


Можем перевести наше сообщение на испанский язык: 


22Кстати, в некоторых стандартных функциях библиотеки Си (например, тетсру(), эгсру()) Tak- 
же применяется расстановка аргументов как в синтаксисе Intel: вначале указатель в памяти на 
блок назначения, затем указатель на блок-источник. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


Нем: EE нем: hw_spanishexe И [ЕЕ нем: hw_spanishexe И ехе 


С: \+тр\ћм ѕрапіѕһ.ехе РАЮ EDITMODE РЕ+ 00000000` 00001200 | Н1ем 8.02 


Рис. 1.2: Нем 


Испанский текст на 1 байт короче английского, так что добавляем в конце байт 
ОхОА (\п) и нулевой байт. 


Работает. 


Что если мы хотим вставить более длинное сообщение? После оригинального 
текста на английском есть какие-то нулевые байты. Трудно сказать, можно ли 
их перезаписывать: они могут где-то использоваться в СВТ-коде, а может и нет. 
Так или иначе, вы можете их перезаписывать, только если вы действительно 
знаете, что делаете. 


Коррекция строки (Linux x64) 
Попробуем пропатчить исполняемый файл для Linux x64 используя гада. ге: 


Листинг 1.21: Сессия в гада.ге 


деппіѕ@рісдрох ~/tmp % gcc һм. с 


аеппіѕ@рідрох -/+тр % radare? а. оиї 

-— SHALL МЕ PLAY А САМЕ? 

[0х00400430]> / hello 

Searching 5 bytes from 0х00400000 to 0х00601040: 68 65 бс бс 6f 
Searching 5 bytes іп [0х400000-0х601040] 

hits: 1 

0х004005с4 1140 © .HHhello, мог1а;0. 


[0х004004301> s 0х004005с4 


[0х004005с4]> рх 


— offset – 01 23 45 67 89 АВ Ср ЕЕ 0123456789АВСрЕЕ 
0х004005с4 6865 бсбс 6f2c 2077 6172 6c64 0000 0000 hello, world. 

0х004005494 0116 033b 3000 0000 0500 0000 1сҒе ҒҒҒҒ О еньраниаа 
0х004005е4 7с00 0000 5сРе ҒҒҒҒ 4с00 0000 52ff ҒҒҒҒ Ия 
0х004005#4 a400 0000 6cff ТЕТЕ с400 0000 dcff Ffff ....1........... 
0х00400604 0с01 0000 1400 0000 0000 0000 017а 5200 ............. 2А. 
0х00400614 0178 1001 160с 0708 9001 0710 1400 0000 .х.............. 
0х00400624 1с00 0000 08те ҒҒҒҒ 2a00 0000 0000 0000 ........ Ту 
0х00400634 0000 0000 1400 0000 0000 0000 017а 5200 ............. zR. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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0х00400644 0178 1001 160с 0708 9001 0000 2400 0000 .х.......... $... 
0х00400654 1с00 0000 98fd ffff 3000 0000 000e 1046 ........ 0...... Е 
0х00400664 0е18 Даб? 0677 0880 0031 1а3Б 2а33 2422 ..Ј..м...?. ;ж3$" 
0х00400674 0000 0000 1с00 0000 4400 0000 a6fe ffff ........ Вани 
0х00400684 1500 0000 0041 0е10 8602 4304 0650 0с07 ..... А....С..Р.. 
0х00400694 0800 0000 4400 0000 6400 0000 абРе ffff ....р...а....... 
0х004006а4 6500 0000 0042 0е10 8102 420e 188e 0345 е. ...В....В....Е 
0х00400604 0е20 8404 420e 288c 0548 0e30 8606 480e . ..В.(..Н.О..Н. 


[9х004005с4]> оо+ 
File а. ои reopened іп геаа-мгіе mode 


[9х004005с4]> м hola, типдо\х00 
[9х004005с4]> а 


деппіѕ@рідрох ~/tmp % ./a.out 
hola, mundo 


Что я здесь делаю: ищу строку «hello» используя команду /, я затем я выстав- 
ляю курсор (seek в терминах гада.ге) на этот адрес. Потом я хочу удостоверить- 
ся, что это действительно нужное место: рх выводит байты по этому адресу. 
оо+ переключает гааа.ге в режим чтения-записи. м записывает А5СІІ-строку на 
месте курсора (seek). Нужно отметить \00 в конце — это нулевой байт. q 3a- 
канчивает работу. 


Это реальная история взлома ПО 


Некое ПО обрабатывало изображения, и когда не было зарегистрированно, оно 
добавляло водяные знаки, вроде “This image was processed бу evaluation version 
of [software пате]”, поперек картинки. Мы попробовали от балды: нашли эту 
строку в исполняемом файле и забили пробелами. Водяные знаки пропали. Тех- 
нически, они продолжали добавляться. При помощи соответствующих ф-ций 
ОЕ, надпись продолжала добавляться в итоговое изображение. Но добавление 
пробелов не меняло само изображение... 


Локализация ПО во времена MS-DOS 


Описанный способ был очень распространен для перевода ПО под MS-DOS на 
русский язык в 1980-е и 1990-е. Эта техника доступна даже для тех, кто во- 
все не разбирается в машинном коде и форматах исполняемых файлов. Новая 
строка не должна быть длиннее старой, потому что имеется риск затереть 
какую-то другую переменную или код. Русские слова и предложения обычно 
немного длиннее английских, так что локализованное ПО содержало массу 
странных акронимов и труднопонятных сокращений. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Рис. 1.3: Русифицированный Norton Commander 5.51 


Вероятно, так было и с другими языками в других странах. 


В строках в Delphi, длина строки также должна быть поправлена, если нужно. 


1.5.2. х86-64 
М$\С: х86-64 
Попробуем также 64-битный MSVC: 
Листинг 1.22: MSVC 2012 x64 


$562989 ОВ 'hello, мог1а', OAH, ӨӨН 
main PROC 
sub rsp, 40 
lea rcx, OFFSET FLAT:$SG2989 
call printf 
xor eax, eax 
add rsp, 40 
ret 0 
main ENDP 


B x86-64 все регистры были расширены до 64-х бит и теперь имеют префикс К-. 
Чтобы поменьше задействовать стек (иными словами, поменьше обращаться к 
кэшу и внешней памяти), уже давно имелся довольно популярный метод пере- 
дачи аргументов функции через регистры (fastcall) 6.1.3 (стр. 942). Т.е. часть 
аргументов функции передается через регистры и часть —через стек. В Win64 
первые 4 аргумента функции передаются через регистры RCX, RDX, R8, R9. Это 
мы здесь и видим: указатель на строку в ргіпї?# () теперь передается не через 
стек, а через регистр ВСХ. Указатели теперь 64-битные, так что они передают- 
ся через 64-битные части регистров (имеющие префикс В-). Но для обратной 
совместимости можно обращаться и к нижним 32 битам регистров используя 
префикс Е-. Вот как выглядит регистр КАХ/ЕАХ/АХ/АЕ в х86-64: 


Номер байта: 
7-й | 6-й | 5-й | 4-й | 3-й | 2-й | 1-й | 0-й 
ВАХХ64 


ЕАХ 


АХ 
АН | AL 


Функция та1п() возвращает значение типа int, который в Си/Си++, надо nona- 
гать, для лучшей совместимости и переносимости, оставили 32-битным. Вот 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


21 
почему в конце функции та1п() обнуляется не ВАХ, а ЕАХ, т.е. 32-битная часть 
регистра. Также видно, что 40 байт выделяются в локальном стеке. Это «shadow 
расе» которое мы будем рассматривать позже: 1.14.2 (стр. 135). 


ССС: х86-64 


Попробуем ССС в 64-битном Шпих: 
Листинг 1.23: ССС 4.4.6 х64 


.String "hello, world\n" 
main: 
sub rsp, 8 
mov edi, OFFSET FLAT:.LCO ; "hello, world\n" 
xor eax, eax ; количество переданных векторных регистров 
са11 printf 
xor eax, eax 
add rsp, 8 
ret 


B Linux, *BSD и Mac OS X для x86-64 также принят способ передачи аргументов 
функции через регистры [Michael Matz, Jan Hubicka, Andreas Jaeger, Mark Mitchell, 
System V Application Binary Interface. AMD64 Architecture Processor Supplement, 
(2013)] ?”. 


6 первых аргументов передаются через регистры RDI, RSI, RDX, RCX, R8, R9, а 
остальные — через стек. 


Так что указатель на строку передается через EDI (32-битную часть регистра). 
Но почему не через 64-битную часть, ВОТ? 


Важно запомнить, что в 64-битном режиме все инструкции MOV, записывающие 
что-либо в младшую 32-битную часть регистра, обнуляют старшие 32-бита (это 
можно найти в документации от Intel: 11.1.4 (стр. 1269)). То есть, инструкция 
MOV EAX, 011223344һ корректно запишет это значение в ВАХ, старшие биты 
сбросятся в ноль. 


Если посмотреть в IDA скомпилированный объектный файл (.о), увидим также 
опкоды всех инструкций 74: 


Листинг 1.24: ССС 4.4.6 x64 


. text: 00000000004004D0 main proc near 

.text:00000000004004D0 48 83 EC 08 sub rsp, 8 

.Хехї:00000000004004р4 BF E8 05 40 00 mov edi, offset format ; "hello, 
world\n" 

text -00000000040040 31 СӨ xor eax, eax 

.text:00000000004004DB E8 D8 FE FF FF call _printf 

.Хехї:00000000004004Е0 31 СО xor eax, eax 

.ехі:00000000004004Е2 48 83 C4 08 add rsp, 8 

. text:00000000004004E6 СЗ retn 

. text :00000000004004E6 main endp 


23Takxe доступно здесь: https://software.intel.com/sites/default/files/article/402129/ 
mpx- linux64-abi.pdf 
24Это нужно задать B Options > Disassembly > Number of opcode bytes 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Как видно, инструкция, записывающая в EDI по адресу 0х400404, занимает 5 
байт. Та же инструкция, записывающая 64-битное значение в RDI, занимает 7 
байт. Возможно, ССС решил немного сэкономить. К тому же, вероятно, он уве- 
рен, что сегмент данных, где хранится строка, никогда не будет расположен 
в адресах выше 4С В. 


Здесь мы также видим обнуление регистра EAX перед вызовом ргіпі? (). Это 
делается потому что по упомянутому выше стандарту передачи аргументов 
в *МХ для х86-64 в EAX передается количество задействованных векторных 
регистров. 


Коррекция (патчинг) адреса (Win64) 


Если наш пример скомпилирован в М5\/С 2013 используя опцию /MD (подразу- 
мевая меньший исполняемый файл из-за внешнего связывания файла М5\/СВ* . DLL), 
ф-ция та1п() идет первой, и её легко найти: 


Нем: hw2.exe 
ЕМО EDITMODE a64 РЕ+ 00000000` 00000404 | Н1ем 8.02 (с)ЅЕМ 
я ТЕ 


rcx, [9000000000000 


Рис. 1.4: Нем 


В качестве эксперимента, мы можем инкрементировать адрес на 1: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


Нем: Вм/2.ехе 


Рис. 1.5: Нем 


Ніем показывает строку «ео, world». И когда мы запускаем исполняемый файл, 
именно эта строка и выводится. 


Выбор другой строки из исполняемого файла (Linux x64) 


Исполняемый файл, если скомпилировать используя ССС 5.4.0 на Linux x64, 
имеет множество других строк: в основном, это имена импортированных ф- 
ций и имена библиотек. 


Запускаю објаитр, чтобы посмотреть содержимое всех секций скомпилирован- 
ного файла: 


% об] аитр -s a.out 
а.оиї: file format е1 #64-х86-64 


Contents of section .іп+егр: 

400238 2f6c6962 36342f6c 642d6c69 6e75782d /lib64/ld-linux- 
400248 7838362d 36342e73 6f2e3200 х86-64.50.2. 
Contents of section .поїе.АВІ-+ад: 

400254 04000000 10000000 01000000 474e5500 ............ GNU. 
400264 00000000 02000000 06000000 20000000 ............ ri 
Contents of section .note.gnu.build-id: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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400274 04000000 14000000 03000000 474е5500 ............ GNU. 
400284 fe461178 5bb710b4 bbf2aca8 5eclec10 .Е.х[....... a 
400294 cf3f7ae4 .?Z. 


Не проблема передать адрес текстовой строки «/11664/14-1іпих-х86-64.50.2» в 
вызов ргіпі? (): 


#include <stdio.h> 


int main() 
printf(0x400238); 
return 0; 

} 


Трудно поверить, но этот код печатает вышеуказанную строку. 


Измените адрес на 0x400260, и напечатается строка «GNU». Адрес точен для 
конкретной версии ССС, GNU toolset, и т. д. На вашей системе, исполняемый 
файл может быть немного другой, и все адреса тоже будут другими. Также, 
добавление/удаление кода из исходных кодов, скорее всего, сдвинет все ад- 
реса вперед или назад. 


1.5.3. АКМ 


Для экспериментов с процессором ARM было использовано несколько компи- 
ляторов: 


• Популярный в етреадеа-среде Keil Release 6/2013. 
• Apple Xcode 4.6.3 с компилятором И УМ-ССС 4.2 25. 


• ССС 4.9 (Linaro) (для АКМ64), доступный в виде исполняемого файла для 
win32 на http://www. 11паго . огд/рго]ес{$/агту8/. 


Везде в этой книге, если не указано иное, идет речь о 32-битном АВМ (включая 
режимы Thumb и Thumb-2). Когда речь идет о 64-битном ARM, он называется 
здесь ARM64. 

Неоптимизирующий Кей 6/2013 (Режим ARM) 


Для начала скомпилируем наш пример в Кей: 


агтсс.ехе --агт --c90 -00 1.с 


Компилятор агтсс генерирует листинг на ассемблере в формате Intel. Этот ли- 
стинг содержит некоторые высокоуровневые макросы, связанные с ARM *5, а 


25Это действительно так: Apple Xcode 4.6.3 использует опен-сорсный ССС как компилятор nepeg- 
него плана и кодогенератор ШММ 
26например, он показывает инструкции РОЅН/РОР, отсутствующие в режиме ARM 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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нам важнее увидеть инструкции «как есть», так что посмотрим скомпилиро- 
ванный результат в IDA. 


Листинг 1.25: Неоптимизирующий Keil 6/2013 (Режим ARM) IDA 


.text:00000000 main 

.text:00000000 10 40 2D E9 STMFD SP!, {R4,LR} 

.text:00000004 1E ОЕ 8F E2 ADR RO, aHelloWorld ; “hello, world" 

.text:00000008 15 19 00 EB BL _ 2printf 

.text:0000000C 00 00 Аб E3 MOV RO, #0 

.text:00000010 10 80 BD E8 LDMFD SP!, {R4,PC} 

.text:000001EC 68 65 6C 6C+aHelloWworld DCB "hello, мог1а", 0 ; DATA XREF: 
main+4 


В вышеприведённом примере можно легко увидеть, что каждая инструкция 
имеет размер 4 байта. Действительно, ведь мы же компилировали наш код 
для режима АВМ, а не Thumb. 


Самая первая инструкция, STMFD 5Р!, {В4,1А}2', работает как инструкция PUSH 
в X86, записывая значения двух регистров (R4 и LR) в стек. Действительно, в 
выдаваемом листинге на ассемблере компилятор агтсс для упрощения ука- 
зывает здесь инструкцию PUSH {г4,1г}. Но это не совсем точно, инструкция 
PUSH доступна только в режиме Thumb, поэтому, во избежание путаницы, я 
предложил работать в IDA. 


Итак, эта инструкция уменьшает 5$Р??, чтобы он указывал на место в стеке, 
свободное для записи новых значений, затем записывает значения регистров 
R4 и LR по адресу в памяти, на который указывает измененный регистр SP. 


Эта инструкция, как и инструкция PUSH в режиме Thumb, может сохранить 
в стеке одновременно несколько значений регистров, что может быть очень 
удобно. Кстати, такого в х86 нет. Также следует заметить, что STMFD — гене- 
рализация инструкции PUSH (то есть расширяет её возможности), потому что 
может работать с любым регистром, а не только с SP. Другими словами, STMFD 
можно использовать для записи набора регистров в указанном месте памяти. 


Инструкция ADR RO, aHelloWorld прибавляет или отнимает значение регистра 
РСЗО к смещению, где хранится строка hello, world. Причем здесь РС, можно 
спросить? Притом, что это так называемый «адресно-независимый код» 31. Он 
предназначен для исполнения будучи не привязанным к каким-либо адресам 
в памяти. Другими словами, это относительная от РС адресация. В опкоде ин- 
струкции ADR указывается разница между адресом этой инструкции и местом, 
где хранится строка. Эта разница всегда будет постоянной, вне зависимости 
от того, куда был загружен ОС наш код. Поэтому всё, что нужно — это приба- 
вить адрес текущей инструкции (из РС), чтобы получить текущий абсолютный 
адрес нашей Си-строки. 


275ТМЕО?8 

29указатель стека. ЅР/ЕЅР/АЅР в х86/х64. SP в ARM. 

30Program Counter. ІР/ЕІР/АІР в х86/64. РС в ААМ. 

31Читайте больше об этом в соответствующем разделе (6.4.1 (стр. 959)) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Инструкция ВЕ  2printf?? вызывает функцию printf (). Работа этой инструк- 
ции состоит из двух фаз: 


• записать адрес после инструкции ВЕ (0хС) в регистр LR; 


• передать управление в printf(), записав адрес этой функции в регистр 
РС. 


Ведь когда функция ргіпї#() закончит работу, нужно знать, куда вернуть 
управление, поэтому закончив работу, всякая функция передает управление 
по адресу, записанному в регистре LR. 


В этом разница между «чистыми» В!5С-процессорами вроде ARM и С!5С33-процессорами 
как х86, где адрес возврата обычно записывается в стек (1.9 (стр. 41)). 


Кстати, 32-битный абсолютный адрес (либо смещение) невозможно закодиро- 
вать в 32-битной инструкции ВЕ, в ней есть место только для 24-х бит. Посколь- 
ку все инструкции в режиме АВМ имеют длину 4 байта (32 бита) и инструкции 
могут находится только по адресам кратным 4, то последние 2 бита (всегда 
нулевых) можно не кодировать. В итоге имеем 26 бит, при помощи которых 
можно закодировать current_PC + = 32M. 


Следующая инструкция MOV RO, #034 просто записывает 0 в регистр RO. Ведь 
наша Си-функция возвращает 0, а возвращаемое значение всякая функция 
оставляет в RO. 


Последняя инструкция ГОМЕР SP!, В4,РСЗ5. Она загружает из стека (или любо- 
го другого места в памяти) значения для сохранения их в R4 и РС, увеличивая 
указатель стека SP. Здесь она работает как аналог РОР. 

М.В. Самая первая инструкция STMFD сохранила в стеке R4 и LR, а восстанавли- 
ваются во время исполнения LDMFD регистры R4 и РС. 


Как мы уже знаем, в регистре LR обычно сохраняется адрес места, куда нужно 
всякой функции вернуть управление. Самая первая инструкция сохраняет это 
значение в стеке, потому что наша функция та1п() позже будет сама пользо- 
ваться этим регистром в момент вызова ргіпі? (). А затем, в конце функции, 
это значение можно сразу записать прямо в РС, таким образом, передав управ- 
ление туда, откуда была вызвана наша функция. 


Так как функция та1п() обычно самая главная в Си/Си++, управление будет 
возвращено в загрузчик ОС, либо куда-то в СВТ или что-то в этом роде. 


Всё это позволяет избавиться от инструкции ВХ ІК в самом конце функции. 


DCB — директива ассемблера, описывающая массивы байт или А5СІІ-строк, aHa- 
лог директивы ОВ в х86-ассемблере. 


Неоптимизирующий Кей! 6/2013 (Режим Thumb) 


Скомпилируем тот же пример в Keil для режима Thumb: 


32Branch with Link 

33Complex Instruction Set Computing 
34Означает MOVe 

35LDMFD?6 — это инструкция, обратная STMFD 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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агтсс.ехе --thumb --с90 -00 1.с 


Получим (в IDA): 
Листинг 1.26: Неоптимизирующий Keil 6/2013 (Режим Thumb) + IDA 


.Техт: 00000000 та1п 

.text:00000000 10 B5 PUSH {R4, LR} 

.text:00000002 СО АО ADR RO, aHelloWorld ; "hello, world" 

.text:00000004 06 ЕО 2E F9 BL _ 2printf 

.text:00000008 00 20 MOVS RO, #0 

.text:0000000A 10 BD POP {R4, PC} 

.text:00000304 68 65 6C 6C+aHelloWorld DCB "hello, мог1а", 0 ; DATA XREF: 
main+2 


Сразу бросаются в глаза двухбайтные (16-битные) опкоды — это, как уже было 
отмечено, Thumb. 


Кроме инструкции ВЕ. Но на самом деле она состоит из двух 16-битных ин- 
струкций. Это потому что в одном 16-битном опкоде слишком мало места для 
задания смещения, по которому находится функция ргіпі? (). Так что первая 
16-битная инструкция загружает старшие 10 бит смещения, а вторая — млад- 
шие 11 бит смещения. 


Как уже было упомянуто, все инструкции в Тћитб-режиме имеют длину 2 бай- 
та (или 16 бит). Поэтому невозможна такая ситуация, когда Тпит6-инструкция 
начинается по нечетному адресу. 


Учитывая сказанное, последний бит адреса можно не кодировать. Таким обра- 
зом, в Тпитб-инструкции BL можно закодировать адрес current_PC + x 2M. 


Остальные инструкции в функции (РУЗН и РОР) здесь работают почти так же, 
как и описанные STMFD/LDMFD, только регистр SP здесь не указывается явно. 
ADR работает так же, как и в предыдущем примере. MOVS записывает О в pe- 
гистр КӨ для возврата нуля. 


Оптимизирующий Xcode 4.6.3 (ШУМ) (Режим АВМ) 


Xcode 4.6.3 без включенной оптимизации выдает слишком много лишнего KO- 
да, поэтому включим оптимизацию компилятора (ключ -03), потому что там 
меньше инструкций. 


Листинг 1.27: Оптимизирующий Xcode 4.6.3 (ШММ) (Режим ARM) 


_ text:000028C4 _hello world 

_ text:000028C4 80 40 2D E9 STMFD SP!, {R7,LR} 
_ text:000028C8 86 06 01 ЕЗ MOV RO, #0x1686 
_ text:000028CC 00 70 Аб ЕШ MOV R7, SP 

_ text:000028D0 00 00 40 ЕЗ МОҮТ RO, #0 

_ text:000028D4 00 00 8F Е9 Арр RO, PC, RO 
_ text:000028D8 СЗ 05 00 ЕВ BL _puts 

_ text:000028DC 00 00 Аб ЕЗ MOV RO, #0 

_ text:000028E0 80 80 BD ЕЗ LDMFD SP!, {R7,PC} 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


28 


__ cstring:00003F62 48 65 6С 6C+aHelloworld © DCB "Hello мог1а!", 0 


Инструкции STMFD и LDMFD нам уже знакомы. 


Инструкция MOV просто записывает число 0х1686 в регистр RO — это смещение, 
указывающее на строку «Hello world!». 


Регистр R7 (по стандарту, принятому в [iOS ABI Function Са! Guide, (2010)]37) 
это frame pointer, о нем будет рассказано позже. 


Инструкция MOVT RO, #0 (МО\е Тор) записывает 0 в старшие 16 бит регистра. 
Дело в том, что обычная инструкция МО\ в режиме АВМ может записывать 
какое-либо значение только в младшие 16 бит регистра, ведь в ней нельзя 
закодировать больше. Помните, что в режиме АВМ опкоды всех инструкций 
ограничены длиной в 32 бита. Конечно, это ограничение не касается переме- 
щений данных между регистрами. 


Поэтому для записи в старшие биты (с 16-го по 31-й включительно) существует 
дополнительная команда МО\Т. Впрочем, здесь её использование избыточно, 
потому что инструкция MOV RO, #0х1686 выше и так обнулила старшую часть 
регистра. Возможно, это недочет компилятора. 


Инструкция ADD RO, РС, RO прибавляет РС к RO для вычисления действитель- 
ного адреса строки «Hello могіа!». Как нам уже известно, это «адресно-независимый 
код», поэтому такая корректива необходима. 


Инструкция BL вызывает puts () вместо printf(). 


LLVM заменил вызов printf() Ha puts (). Действительно, printf() с одним ap- 
гументом это почти аналог puts(). 


Почти, если принять условие, что в строке не будет управляющих символов 
рг1пЕТ(), начинающихся со знака процента. Тогда эффект от работы этих двух 
функций будет разным 38. 


Зачем компилятор заменил один вызов на другой? Наверное потому что puts () 
работает быстрее 3°. Видимо потому что puts ( ) проталкивает символы в stdout 
не сравнивая каждый со знаком процента. 


Далее уже знакомая инструкция MOV RO, #0, служащая для установки в 0 воз- 
вращаемого значения функции. 
Оптимизирующий Xcode 4.6.3 (ШММ) (Режим Thumb-2) 


По умолчанию Xcode 4.6.3 генерирует код для режима Thumb-2 примерно в 
такой манере: 


37Также доступно здесь: http://developer.apple.com/library/ios/documentation/Xcode/ 
Conceptual/iPhone0SABIReference/iPhone0SABIReference.pdf 

38Также нужно заметить, что puts() не требует символа перевода строки “\п’ в конце строки, 
поэтому его здесь нет. 

39ciselant.de/projects/gcc_printf/gcc_printf.html 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Листинг 1.28: Оптимизирующий Xcode 4.6.3 (1 УМ) (Режим Thumb-2) 


_ text:00002B6C _hello world 

_ text:00002B6C 80 B5 PUSH {R7, LR} 

_ text:00002B6E 41 F2 D8 30 MOVW RO, #0x13D8 

_ text:00002B72 6F 46 MOV R7, SP 

_ text:00002B74 СО F2 00 00 MOVT.W RO, #0 

_ text:00002B78 78 44 ADD RO, PC 

_ text:00002B7A 01 FO 38 EA BLX _puts 

_ text:00002B7E 00 20 MOVS RO, #0 

_ text:00002B80 80 BD POP {R7, PC} 

_ cstring:00003E70 48 65 6C 6С 6F 20+aHelloworld DCB "Hello world!",0xA,0 


Инструкции BL n BLX в Thumb, как мы помним, кодируются как пара 16-битных 
инструкций, а в Тћитб-2 эти суррогатные опкоды расширены так, что новые 
инструкции кодируются здесь как 32-битные инструкции. Это можно заметить 
по тому что опкоды Thumb-2 инструкций всегда начинаются с 0хЕх либо с 0хЕх. 
Но в листинге ША байты опкода переставлены местами. Это из-за того, что 
в процессоре АВМ инструкции кодируются так: в начале последний байт, по- 
том первый (для Thumb и Thumb-2 режима), либо, (для инструкций в режиме 
АВМ) в начале четвертый байт, затем третий, второй и первый (т.е. другой 
епаіаппеѕѕ). 


Вот так байты следуют в листингах ІрА: 
• для режимов АВМ и АКМ6А: 4-3-2-1; 
• для режима Thumb: 2-1; 
• для пары 16-битных инструкций в режиме Thumb-2: 2-1-4-3. 
Так что мы видим здесь что инструкции МОМ, MOVT.W и ВЁХ начинаются с 0хЕх. 


Одна из Thumb-2 инструкций это MOVW RO, #0х1308 — она записывает 16-битное 
число в младшую часть регистра RO, очищая старшие биты. 


Ещё MOVT.W ВО, #0 — эта инструкция работает так же, как и МО\Т из предыду- 
щего примера, но она работает в Thumb-2. 


Помимо прочих отличий, здесь используется инструкция ВІХ вместо ВЕ. От- 
личие в том, что помимо сохранения адреса возврата в регистре LR и nepe- 
даче управления в функцию ри+ѕ(), происходит смена режима процессора 
с Thumb/Thumb-2 на режим ARM (либо назад). Здесь это нужно потому, что 
инструкция, куда ведет переход, выглядит так (она закодирована в режиме 
АВМ): 


_ symbolstubl:00003FEC _риї< ; CODE XREF: hello world+E 
_ symbolstub1l1:00003FEC 44 FO 9F E5 LDR PC, = 1тр_ puts 


Это просто переход на место, где записан адрес puts() в секции импортов. 
Итак, внимательный читатель может задать справедливый вопрос: почему бы 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


30 


не вызывать puts( ) сразу B том же месте кода, где он нужен? Но это не очень 
выгодно из-за экономии места и вот почему. 


Практически любая программа использует внешние динамические библиотеки 
(будь то ОШ в Windows, .50 в *МІХ либо .dylib в Мас OS X). В динамических биб- 
лиотеках находятся часто используемые библиотечные функции, в том числе 
стандартная функция Си ри+5(). 


В исполняемом бинарном файле (Windows РЕ .ехе, ELF либо Масһ-О) имеется 
секция импортов, список символов (функций либо глобальных переменных) 
импортируемых из внешних модулей, а также названия самих модулей. За- 
грузчик ОС загружает необходимые модули и, перебирая импортируемые сим- 
волы в основном модуле, проставляет правильные адреса каждого символа. В 
нашем случае, _ тр _риЕ$ это 32-битная переменная, куда загрузчик ОС 3a- 
пишет правильный адрес этой же функции во внешней библиотеке. Так что 
инструкция LDR просто берет 32-битное значение из этой переменной, и, запи- 
сывая его в регистр РС, просто передает туда управление. Чтобы уменьшить 
время работы загрузчика ОС, нужно чтобы ему пришлось записать адрес каж- 
дого символа только один раз, в соответствующее, выделенное для них, место. 


К тому же, как мы уже убедились, нельзя одной инструкцией загрузить в ре- 
гистр 32-битное число без обращений к памяти. Так что наиболее оптимально 
выделить отдельную функцию, работающую в режиме ARM, чья единственная 
цель — передавать управление дальше, в динамическую библиотеку. И затем 
ссылаться на эту короткую функцию из одной инструкции (так называемую 
{Пипк-функцию) из Тпитр-кода. 


Кстати, в предыдущем примере (скомпилированном для режима АВМ), пере- 
ход при помощи инструкции BL ведет на такую же їћипк-функцию, однако pe- 
жим процессора не переключается (отсюда отсутствие «Х» в мнемонике ин- 
струкции). 


Еще о {ПипКкК-функциях 


Тһипк-функции трудновато понять, скорее всего, из-за путаницы в терминах. 
Проще всего представлять их как адаптеры-переходники из одного типа разъ- 
емов в другой. Например, адаптер, позволяющий вставить в американскую ро- 
зетку британскую вилку, или наоборот. Тһипк-функции также иногда называ- 
ются и/гаррег-ами. Wrap в английском языке это обертывать, завертывать. Вот 
еще несколько описаний этих функций: 


“А piece of coding which provides ап ааадгеѕѕ:”, according їо Р. 
Z. Ingerman, who invented thunks in 1961 as a way of binding 
actual parameters to their formal definitions in Algol-60 procedure 
calls. If a procedure is called with an expression in the place of a 
formal parameter, the compiler generates a thunk which computes 
the expression and leaves the address of the result in some standard 
location. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


оо моол Биом н 


кҥн ы 
уно 


31 


Microsoft апа ІВМ have both defined, т their Intel-based systems, 
a “16-bit environment” (with bletcherous segment registers and 64K 
address limits) and a “32-bit environment” (with flat addressing and 
semi-real memory management). The two environments can both be 
running on the same computer and OS (thanks to what is called, in the 
Microsoft world, WOW which stands for Windows On Windows). MS and 
IBM have both decided that the process of getting from 16- to 32-bit 
and vice versa is called a “thunk”; for Windows 95, there is even a tool, 
THUNK.EXE, called a “thunk compiler”. 


( The Jargon File ) 


Еще один пример мы можем найти в библиотеке LAPACK — (“Linear Algebra 
РАСКаде”) написанная на FORTRAN. Разработчики на Си/Си+ +также хотят NC- 
пользовать ГАРАСК, но переписывать её на Си/Си++, а затем поддерживать 
несколько версий, это безумие. Так что имеются короткие функции на Си вы- 
зываемые из Си/Си++-среды, которые, в свою очередь, вызывают функции на 
FORTRAN, и почти ничего больше не делают: 


double В1аѕ рої Ргоа(сопѕї LaVectorDouble &dx, const LaVectorDouble &dy) 
{ 
assert(dx.size()==dy.size()); 
integer n = dx.size(); 
integer incx = dx.inc(), incy = dy.inc(); 


return F77NAME(ddot)(&n, &dx(0), &incx, &dy (0), &1псу); 


Такие ф-ции еще называют “wrappers” (т.е., “обертка”). 


АКМ64 
GCC 


Компилируем пример B GCC 4.8.1 для ARM64: 
Листинг 1.29: Неоптимизирующий ССС 4.8.1 + objdump 


0000000000400590 <таіп>: 


400590: a9bf7bfd stp x29, x30, [sp,#-16]! 
400594: 910003fd mov x29, sp 

400598: 90000000 adrp х0, 400000 < init-0x3b8> 
40059c: 91192000 add x0, x0, #0x648 

4005a0: 97ffffa0 bl 400420 <puts@plt> 
4005a4: 52800000 mov w0, #0x0 // #0 

4005a8: a8c17bfd 1ар x29, x30, [5р],#16 
4005ac: d65f03c0 ret 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


32 


13 |Contents of section . годаїа: 
14 | 400640 01000200 00000000 48656сбс 6#210а00 ........ Не110!.. 


В ААМ64 нет режима Thumb и Thumb-2, только АВМ, так что тут только 32- 
битные инструкции. 


Регистров тут в 2 раза больше: .2.4 (стр. 1307). 64-битные регистры теперь 
имеют префикс Х-, а их 32-битные части — \-. 


Инструкция STP (Store Pair) сохраняет в стеке сразу два регистра: X29 и X30. 
Конечно, эта инструкция может сохранять эту пару где угодно в памяти, но 
здесь указан регистр SP, так что пара сохраняется именно в стеке. 


Регистры в ARM64 64-битные, каждый имеет длину в 8 байт, так что для хра- 
нения двух регистров нужно именно 16 байт. 


Восклицательный знак (“!”) после операнда означает, что сначала от SP будет 
отнято 16 и только затем значения из пары регистров будут записаны в стек. 


Это называется рге-таех. Больше о разнице между роѕі-/паех и рге-таех onn- 
сано здесь: 1.39.2 (стр. 565). 


Таким образом, в терминах более знакомого всем процессора х86, первая ин- 
струкция — это просто аналог пары инструкций PUSH X29 и PUSH X30. X29 в 
АВМ64 используется как ЕР“°, а X30 как LR, поэтому они сохраняются в проло- 
ге функции и восстанавливаются в эпилоге. 


Вторая инструкция копирует SP в X29 (или ЕР). Это нужно для установки CTE- 
кового фрейма функции. 


Инструкции ADRP и ADD нужны для формирования адреса строки «Hello!» в pe- 
гистре X0, ведь первый аргумент функции передается через этот регистр. Но в 
АВМ нет инструкций, при помощи которых можно записать в регистр длинное 
число (потому что сама длина инструкции ограничена 4-я байтами. Больше об 
этом здесь: 1.39.3 (стр. 567)). Так что нужно использовать несколько инструк- 
ций. Первая инструкция (АРВР) записывает в ХӨ адрес 4-килобайтной страницы 
где находится строка, а вторая (ADD) просто прибавляет к этому адресу оста- 
ток. Читайте больше об этом: 1.39.4 (стр. 569). 


0х400000 + 0x648 = 0х400648, и мы видим, что в секции данных .rodata по 
этому адресу как раз находится наша Си-строка «Нейо!». 


Затем при помощи инструкции BL вызывается риї<(). Это уже рассматрива- 
лось ранее: 1.5.3 (стр. 28). 


Инструкция MOV записывает О в WO. WO это младшие 32 бита 64-битного pern- 
стра ХӨ: 


Старшие 32 бита | младшие 32 бита 
хо 


М/О 


А результат функции возвращается через X0, и та1п() возвращает 0, так что 
вот так готовится возвращаемый результат. 


40Frame Pointer 
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Почему именно 32-битная часть? Потому что в ARM64, как и в х86-64, тип int 
оставили 32-битным, для лучшей совместимости. 


Следовательно, раз уж функция возвращает 32-битный int, то нужно запол- 
нить только 32 младших бита регистра ХӨ. 


Для того, чтобы удостовериться в этом, немного отредактируем этот пример 
и перекомпилируем его. 


Теперь та1п() возвращает 64-битное значение: 


Листинг 1.30: та1п() возвращающая значение типа џіпіб4 t 


#include <stdio.h> 
#include <stdint.h> 


uint64 t main() 

{ 
printf ("Hello!\n"); 
return Q; 


Результат точно такой же, только MOV в той строке теперь выглядит так: 


Листинг 1.31: Неоптимизирующий ССС 4.8.1 + објаитр 


4005а4: 02800000 тоу x0, #0х0 // #0 


Далее при помощи инструкции LDP (Load Pair) восстанавливаются регистры X29 
и X30. 


Восклицательного знака после инструкции нет. Это означает, что сначала зна- 
чения достаются из стека, и только потом SP увеличивается на 16. 


Это называется post-index. 


В АВМ64 есть новая инструкция: ВЕТ. Она работает так же как и ВХ LR, но там 
добавлен специальный бит, подсказывающий процессору, что это именно вы- 
ход из функции, а не просто переход, чтобы процессор мог более оптимально 
исполнять эту инструкцию. 


Из-за простоты этой функции оптимизирующий ССС генерирует точно такой 
же код. 


1.5.4. MIPS 
О «глобальном указателе» («global pointer») 


«Глобальный указатель» («global pointer») — это важная концепция в MIPS. Как 
мы уже возможно знаем, каждая инструкция в МІРЅ имеет размер 32 бита, по- 
этому невозможно закодировать 32-битный адрес внутри одной инструкции. 
Вместо этого нужно использовать пару инструкций (как это сделал ССС для 
загрузки адреса текстовой строки в нашем примере). С другой стороны, ис- 
пользуя только одну инструкцию, возможно загружать данные по адресам в 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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34 
пределах register – 32768...тедіѕіет + 32767, потому что 16 бит знакового смеще- 
ния можно закодировать в одной инструкции). Так мы можем выделить какой- 
то регистр для этих целей и ещё выделить буфер в 64КВ для самых часто 
используемых данных. Выделенный регистр называется «глобальный указа- 
тель» («global pointer») и он указывает на середину области 64К1В. Эта область 
обычно содержит глобальные переменные и адреса импортированных функ- 
ций вроде ргіпї+ (), потому что разработчики ССС решили, что получение ад- 
реса функции должно быть как можно более быстрой операцией, исполняю- 
щейся за одну инструкцию вместо двух. В ЕЁЕ-файле эта 64КВ-область нахо- 
дится частично в секции .sbss («small В$55“1») для неинициализированных дан- 
ных и в секции .sdata («small data») для инициализированных данных. Это зна- 
чит что программист может выбирать, к чему нужен как можно более быстрый 
доступ, и затем расположить это в секциях .ѕӣаїа/.5055. Некоторые программи- 
сты «старой школы» могут вспомнить модель памяти в MS-DOS 10.7 (стр. 1254) 
или в менеджерах памяти вроде ХМ5/ЕМ5, где вся память делилась на блоки 
по 64КІВ. 


Эта концепция применяется не только в MIPS. По крайней мере PowerPC также 
использует эту технику. 


Оптимизирующий ССС 


Рассмотрим следующий пример, иллюстрирующий концепцию «глобального 
указателя». 


Листинг 1.32: Оптимизирующий ССС 4.4.5 (вывод на ассемблере) 


$С0: 
; \000 это ноль в восьмеричной системе: 
.аѕсії "Hello, world!\012\000" 
main: 
; пролог функции 
; установить СР: 
lui $28,%hi(__gnu_local_gp) 
addiu $sp,$sp,-32 
addiu $28,$28,%lo(_ дпи 1оса1 9р) 
; сохранить ВА в локальном стеке: 


SW $31,28($sp) 
; загрузить адрес функции puts() из GP в $25: 
1м $25,%call16 (puts) ($28) 
; загрузить адрес текстовой строки B $4 ($a0): 
lui $4,%hi($LC0) 
; перейти Ha puts(), сохранив адрес возврата B 1іпк-регистре: 
jalr $25 


addiu $4,$4,%lo($LC0) ; branch delay slot 
; восстановить ВА: 
1м $31,28($5р) 
; скопировать 0 из $2его в $\№0: 
поме $2,$0 
; вернуть управление сделав переход по адресу в ВА: 
ј $31 
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; эпилог функции: 


addiu $5р,$5р,32 ; branch delay slot + освободить стек от локальных 
переменных 


Как видно, регистр $СР в прологе функции выставляется в середину этой об- 
ласти. Регистр КА сохраняется в локальном стеке. Здесь также используется 
риїѕ () вместо ргіпї# (). Адрес функции риїѕ() загружается в $25 инструкци- 
ей LW («Load Мога»). Затем адрес текстовой строки загружается в $4 парой 
инструкций LUI («Load Upper Immediate») и ADDIU («Ада Immediate Unsigned 
Word»). LUI устанавливает старшие 16 бит регистра (поэтому в имени инструк- 
ции присутствует «иррег») и ADDIU прибавляет младшие 16 бит к адресу. ADDIU 
следует за ЈАІК (помните о branch delay 510 5?). Регистр $4 также называется 
$АО, который используется для передачи первого аргумента функции “2. JALR 
(«)итр апа Link Вед! ег») делает переход по адресу в регистре $25 (там ag- 
рес puts ()) при этом сохраняя адрес следующей инструкции (LW) в ВА. Это так 
же как и в АВМ. И ещё одна важная вещь: адрес сохраняемый в ВА это адрес 
не следующей инструкции (потому что это delay slot и исполняется перед nH- 
струкцией перехода), а инструкции после неё (после delay slot). Таким образом 
во время исполнения ЈАІК в RA записывается РС +8. В нашем случае это адрес 
инструкции LW следующей после ADDIU. 


LW («Load Мога») в строке 20 восстанавливает ВА из локального стека (эта nH- 
струкция скорее часть эпилога функции). 


MOVE в строке 22 копирует значение из регистра $0 ($7ЕВО) в $2 ($\0). 


В MIPS есть константный регистр, всегда содержащий ноль. Должно быть, раз- 
работчики MIPS решили, что 0 это самая востребованная константа в програм- 
мировании, так что пусть будет использоваться регистр $0, всякий раз, когда 
будет нужен 0. Другой интересный факт: в MIPS нет инструкции, копирующей 
значения из регистра в регистр. На самом деле, МОМЕ DST, SRC это ADD DST, 
SRC, $ZERO (DST = SRC +0), которая делает тоже самое. Очевидно, разработ- 
чики MIPS хотели сделать как можно более компактную таблицу опкодов. Это 
не значит, что сложение происходит во время каждой инструкции МОМЕ. Ско- 
рее всего, эти псевдоинструкции оптимизируются в СРО и АЛУ“3 никогда не 
используется. 


3 в строке 24 делает переход по адресу в ВА, и это работает как выход из 
функции. ADDIU после J на самом деле исполняется перед J (помните о branch 
delay slots?) и это часть эпилога функции. 


Вот листинг сгенерированный IDA. Каждый регистр имеет свой псевдоним: 


Листинг 1.33: Оптимизирующий ССС 4.4.5 (IDA) 


.text:00000000 main: 
. text: 00000000 
.text:00000000 var 10 
.text:00000000 var 4 
. text: 00000000 

; пролог функции 


—0х10 
—4 
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; установить СР: 


. text: 00000000 lui $gp, (_gnu_local_gp >> 16) 

. text: 00000004 addiu $sp, -0x20 

. text : 00000008 la $gp, (gnu local_gp & ӨХЕЕЕЕ) 
; сохранить ВА в локальном стеке: 

. text :0000000C Sw $ra, 0x20+var_4($sp) 


; сохранить GP в локальном стеке: 
; по какой-то причине, этой инструкции не было в ассемблерном выводе в ССС: 


„Техе: 000000109 sw $gp, 0x20+var_10($sp) 

; загрузить адрес функции puts() из GP в $t9: 

.Техт:00000014 lw $t9, (puts & OxFFFF) ($9р) 

; сформировать адрес текстовой строки B $а0: 

.text:00000018 lui фаб, ($LCO >> 16) # "Hello, world!" 

; перейти на puts(), сохранив адрес возврата B 11пК-регистре: 

.text:0000001C jalr $t9 

.text:00000020 la $a0, ($LCO & OxFFFF) # "Hello, 
world!" 

; восстановить ВА: 

.Техт:00000024 1м $ra, 0х20+уаг 4($5р) 

; скопировать 0 из $27его в $0: 

. text: 00000028 move $v0, $zero 

; вернуть управление сделав переход по адресу B ВА: 

. text :0000002C jr $ra 

; эпилог функции: 

.Техт:00000030 addiu $sp, 0x20 


Инструкция в строке 15 сохраняет СР в локальном стеке. Эта инструкция MMN- 
стическим образом отсутствует в листинге от ССС, может быть из-за ошибки в 
самом ССС““. Значение СР должно быть сохранено, потому что всякая функция 
может работать со своим собственным окном данных размером 64КіВ. Регистр, 
содержащий адрес функции риї<() называется $Т9, потому что регистры с 
префиксом T- называются «їетрогагіеѕ» и их содержимое можно не сохранять. 


Неоптимизирующий ССС 
Неоптимизирующий ССС более многословный. 


Листинг 1.34: Неоптимизирующий ССС 4.4.5 (вывод на ассемблере) 


$LCO: 
.ascii "Hello, world!\012\000" 
main: 
; пролог функции 
; сохранить ВА ($31) и ЕР в стеке: 
addiu — $5р,$5р,-32 
Sw $31,28($sp) 
Sw $fp,24($sp) 
; установить ЕР (указатель стекового фрейма): 
move $fp,$sp 
; установить СР: 
lui $28,%һі( дпи 1оса1 9р) 


44Очевидно, функция вывода листингов не так критична для пользователей ССС, поэтому там 
вполне могут быть неисправленные косметические ошибки. 
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addiu $28,%28,%10( дпи 1оса1 ор) 
; загрузить адрес текстовой строки: 
lui $2,%hi($LCO0) 
addiu $4, $2 ,%10 ($200) 
; загрузить адрес функции puts() используя СР: 
1м $2, %са1116(ри+ѕ) ($28) 
пор 
вызвать puts(): 
move $25,$2 
jalr $25 
nop ; branch delay slot 


восстановить СР из локального стека: 


1м $28,16($#р) 
; установить регистр $2 ($\0) в ноль: 
поме $2,$0 


; эпилог функции. 
; восстановить $5Р: 

move $sp,$fp 
восстановить RA: 


lw $31,28($sp) 
; восстановить ЕР: 
lw $fp,24($sp) 


addiu $sp,$sp,32 
переход на ВА: 

ј $31 

пор ; branch delay slot 


Мы видим, что регистр ЕР используется как указатель на фрейм стека. Мы Tak- 
же видим 3 МОР-а. Второй и третий следуют за инструкциями перехода. Види- 
мо, компилятор ССС всегда добавляет МОР-ы (из-за branch delay slots) после 
инструкций переходов и затем, если включена оптимизация, от них может из- 
бавляться. Так что они остались здесь 


Вот также листинг от IDA: 


Листинг 1.35: Неоптимизирующий ССС 4.4.5 (IDA) 


.text:00000000 main: 
. text :00000000 


.text:00000000 var 10 = -0x10 

.text:00000000 var 8 = -8 

.text:00000000 var 4 = -4 

. text: 00000000 

; пролог функции 

; сохранить ВА и ЕР в стеке: 

. text: 00000000 addiu $sp, -0x20 

. text : 00000004 Sw $ra, 0x20+var_4($sp) 
. text: 00000008 SW $fp, 0x20+var_8($sp) 
; установить ЕР (указатель стекового фрейма): 

. text :0000000C move $fp, $sp 

; установить СР: 

.Техі: 00000010 1а $gp, _ апи 1оса1 ор 
„Хехе: 00000018 sw $gp, 0x20+var_10($sp) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


38 


; загрузить адрес текстовой строки: 
.text:0000001C lui $\0, (aHelloWorld >> 16) # "Hello, 


world!" 
.text:00000020 addiu фаб, $у0, (aHelloworld & OxFFFF) # 


"Hello, world!" 
; загрузить адрес функции puts() используя СР: 


. text: 00000024 lw $v0, (puts & OxFFFF)($gp) 
. text :00000028 or $at, $zero ; NOP 

; вызвать puts(): 

„.Техт:0000002С move $t9, $\0 

. text : 00000030 jalr $t9 

. text: 00000034 or $at, $zero ; NOP 

; восстановить СР из локального стека: 

. text : 00000038 lw $gp, 0x20+var_10($fp) 

; установить регистр $2 ($\0) в ноль: 

. text :0000003C move $v0, $zero 


; эпилог функции. 
; восстановить SP: 


.Техт:00000040 поме $5р, $fp 

; восстановить ВА: 

. text : 00000044 lw $ra, 0x20+var_4($sp) 
; восстановить ЕР: 

. text : 00000048 lw $fp, 0x20+var_8($sp) 
. text :0000004C addiu $sp, 0x20 

; переход Ha RA: 

.text:00000050 jr $ra 

. text :00000054 or $at, $zero ; МОР 


Интересно что IDA распознала пару инструкций LUI/ADDIU и собрала их B OD- 
ну псевдоинструкцию LA («Load Address») в строке 15. Мы также видим, что 
размер этой псевдоинструкции 8 байт! Это псевдоинструкция (или макрос), 
потому что это не настоящая инструкция MIPS, а скорее просто удобное имя 
для пары инструкций. 


Ещё кое что: IDA не распознала МОР-инструкции в строках 22, 26 и 41. 


Это OR $АТ, $27ЕВО. По своей сути это инструкция, применяющая операцию 
ИЛИ к содержимому регистра $АТ с нулем, что, конечно же, холостая операция. 
MIPS, как и многие другие ISA, не имеет отдельной МОР-инструкции. 


Роль стекового фрейма в этом примере 


Адрес текстовой строки передается в регистре. Так зачем устанавливать ло- 
кальный стек? Причина в том, что значения регистров ВА и СР должны быть 
сохранены где-то (потому что вызывается printf()) и для этого используется 
локальный стек. 


Если бы это была leaf function, тогда можно было бы избавиться от пролога и 
эпилога функции. Например: 1.4.3 (стр. 11). 


Оптимизирующий ССС: загрузим в СОВ 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Листинг 1.36: пример сессии в СОВ 


гоої@аеріап-тірѕ:-~# gcc һм. с -03 -o hw 


root@debian-mips:~# gdb hw 
GNU gdb (GDB) 7.0.1-debian 


Reading symbols from /root/hw...(no debugging symbols found)...done. 
(gdb) b main 

Breakpoint 1 at 0x400654 

(gdb) run 

Starting program: /root/hw 


Breakpoint 1, 0x00400654 in main () 

(gdb) set step-mode on 

(gdb) disas 

Dump of assembler code for function main: 


0x00400640 <main+0>: lui др, 0x42 
0x00400644 <main+4>: addiu sp, эр, -32 
0х00400648 <та1п+8>: addiu gp, gp, -30624 
0x0040064c <main+12>: SW ra,28(sp) 
0x00400650 <main+16>: SW др, 16(5р) 
0x00400654 <main+20>: lw t9,-32716 (gp) 
0x00400658 <main+24>: lui аб, 0x40 


0x0040065c <main+28>: jalr t9 
0x00400660 <main+32>: addiu a0,a0,2080 


0x00400664 <main+36>: lw ra,28(sp) 
0x00400668 <main+40>: move \0, 2его 
0х0040066с <та1п+44>: jr ra 


0x00400670 <main+48>: addiu 5р, р, 32 
Епа of assembler dump. 

(gdb) s 

0x00400658 in main () 

(gdb) s 

0x0040065c in main () 

(gdb) s 

0x2ab2de60 in printf () from /lib/libc.so.6 
(gdb) x/s $а0 

0x400820: "hello, world" 

(gdb) 


1.5.5. Вывод 


Основная разница между кодом х86/АВМ и хб4/АКМ64 в том, что указатель на 
строку теперь 64-битный. Действительно, ведь для того современные СРО и 
стали 64-битными, потому что подешевела память, её теперь можно поставить 
в компьютер намного больше, и чтобы её адресовать, 32-х бит уже недостаточ- 
но. Поэтому все указатели теперь 64-битные. 


1.5.6. Упражнения 
e http://challenges.re/48 
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e Пр: //сһа11епдеѕ. ге/49 


1.6. Пролог и эпилог функций 


Пролог функции это инструкции в самом начале функции. Как правило, это 
что-то вроде такого фрагмента кода: 


push ebp 
mov ebp, esp 
sub esp, X 


Эти инструкции делают следующее: сохраняют значение регистра EBP Ha 6y- 
дущее, выставляют ЕВР равным ЕЅР, затем подготавливают место в стеке для 
хранения локальных переменных. 


ЕВР сохраняет свое значение на протяжении всей функции, он будет исполь- 
зоваться здесь для доступа к локальным переменным и аргументам. Можно 
было бы использовать и ESP, но он постоянно меняется и это не очень удобно. 


Эпилог функции аннулирует выделенное место в стеке, восстанавливает зна- 
чение ЕВР на старое и возвращает управление в вызывающую функцию: 


mov esp, ebp 
pop ebp 
ret 0 


Пролог И эпилог функции обычно находятся в дизассемблерах для отделения 
функций друг от друга. 
1.6.1. Рекурсия 


Наличие эпилога и пролога может несколько ухудшить эффективность рекур- 
сии. 


Больше о рекурсии в этой книге: 3.5.3 (стр. 606). 


1.7. Еще кое-что о пустой ф-ции 


Вернемся к примеру с пустой ф-цией 1.3 (стр. 8). Теперь, когда мы уже знаем о 
прологе и эпилоге ф-ции, вот эта пустая ф-ция 1.1 (стр. 8) скомпилированная 
неоптимизирующим ССС: 


Листинг 1.37: Неоптимизирующий ССС 8.2 x64 (вывод на ассемблере) 


f: 
push rbp 
mov rbp, rsp 
nop 
pop rbp 
ret 
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Это ВЕТ, но пролог и эпилог ф-ции, вероятно, не был соптимизирован и остался 
как есть. МОР это, похоже, артефакт компилятора. Так или иначе, единственная 
здесь рабочая инструкция это ВЕТ. Остальные инструкции могут быть убраны 
(или соптимизированы). 


1.8. Еще кое-что о возвращаемых значениях 


Теперь, когда мы уже знаем о прологе и эпилоге ф-ции, попробуем скомпили- 
ровать пример, возвращающий значение (1.4 (стр. 10), 1.8 (стр. 10)), используя 
неоптимизирующий ССС: 


Листинг 1.38: Неоптимизирующий ССС 8.2 x64 (вывод на ассемблере) 


f: 
push rbp 
mov rbp, rsp 
mov eax, 123 
pop rbp 
ret 


Рабочие здесь инструкции это MOV и ВЕТ, остальные - пролог и эпилог. 


1.9. Стек 


Стек в компьютерных науках — это одна из наиболее фундаментальных струк- 
тур данных 45. АКА46 LIFO®. 


Технически это просто блок памяти в памяти процесса + регистр ЕЅР в х86 или 
RSP в x64, либо SP в ARM, который указывает где-то в пределах этого блока. 


Часто используемые инструкции для работы со стеком — это РУЗН и РОР (в х86 
и Thumb-pexnme ARM). PUSH уменьшает ESP/RSP/SP на 4 в 32-битном режиме 
(или на 8 в 64-битном), затем записывает по адресу, на который указывает 
ЕЅР/АЅР/ЅР, содержимое своего единственного операнда. 


РОР это обратная операция — сначала достает из указателя стека значение и 
помещает его в операнд (который очень часто является регистром) и затем 
увеличивает указатель стека на 4 (или 8). 


В самом начале регистр-указатель указывает на конец стека. Конец стека на- 
ходится в начале блока памяти, выделенного под стек. Это странно, но это так. 
PUSH уменьшает регистр-указатель, а РОР — увеличивает. 


В процессоре ARM, тем не менее, есть поддержка стеков, растущих как в CTO- 
рону уменьшения, так и в сторону увеличения. 


Например, инструкции STMFD/LDMFD, STMED48/LDMED® предназначены для descending- 


45wikipedia.org/wiki/Call_stack 

46 Also Known As — Также известный как 

4T Last In First Out (последним вошел, первым вышел) 
48Store Multiple Empty Descending (инструкция ARM) 
49| саа Multiple Empty Descending (инструкция ARM) 
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стека (растет назад, начиная с высоких адресов в сторону низких). 
Инструкции ЅТМҒАЗО/ ОМА, ЅТМЕА?2/ОМЕА?°? предназначены для ascending- 
стека (растет вперед, начиная с низких адресов в сторону высоких). 


1.9.1. Почему стек растет в обратную сторону? 


Интуитивно мы можем подумать, что, как и любая другая структура данных, 
стек мог бы расти вперед, т.е. в сторону увеличения адресов. 


Причина, почему стек растет назад, видимо, историческая. Когда компьютеры 
были большие и занимали целую комнату, и память была ограничена несколь- 
кими килобайтами, было очень легко разделить сегмент на две части: для ку- 
чи и для стека. Заранее было неизвестно, насколько большой может быть куча 
или стек, так что это решение было самым простым. 


Начало кучи Вершина стека 


Куча —› <— Стэк 


В [0. M. Ritchie апа К. Thompson, Тһе UNIX Time Sharing System, (1974)]*можно 
прочитать: 


Тһе иѕег-соге рагі of ап image is divided into three logical 
segments. The program text segment begins at location 0 in the virtual 
address space. During execution, this segment is write-protected and 
a single copy of it is shared among all processes executing the 
same program. At the first 8K byte boundary above the program text 
segment in the virtual address space begins a nonshared, writable 
data segment, the size of which may be extended by a system call. 
Starting at the highest address in the virtual address space is a stack 
segment, which automatically grows downward as the hardware'’s 
stack pointer fluctuates. 


Это немного напоминает как некоторые студенты пишут два конспекта B од- 
ной тетрадке: первый конспект начинается обычным образом, второй пишется 
с конца, перевернув тетрадку. Конспекты могут встретиться где-то посредине, 
в случае недостатка свободного места. 


50Store Multiple Full Ascending (инструкция ААМ) 

5 баа Multiple Full Ascending (инструкция ARM) 
52Store Multiple Empty Ascending (инструкция ARM) 
53Load Multiple Empty Ascending (инструкция ARM) 
54Также доступно здесь: URL 
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1.9.2. Для чего используется стек? 
Сохранение адреса возврата управления 


х86 


При вызове другой функции через CALL сначала в стек записывается адрес, 
указывающий на место после инструкции CALL, затем делается безусловный 
переход (почти как ЈМР) на адрес, указанный в операнде. 


CALL — это аналог пары инструкций PUSH address after _ call / JMP. 


ВЕТ вытаскивает из стека значение и передает управление по этому адресу — 
это аналог пары инструкций РОР tmp / JMP tmp. 


Крайне легко устроить переполнение стека, запустив бесконечную рекурсию: 


void f() 
{ 


}; 


ТО; 


MSVC 2008 предупреждает о проблеме: 


с: \{трб>с1 55.срр /Ғаѕѕ.аѕт 

Microsoft (В) 32-bit С/С++ Optimizing Compiler Version 15.00.21022.08 for к 
S 80х86 

Copyright (C) Microsoft Corporation. All rights reserved. 


55.срр 
с:\+трб\ѕ5.срр(4) : warning C4717: 'f' : recursive оп all control paths, 2 
S function will cause runtime stack overflow 


..-HO, тем не менее, создает нужный код: 


?Т@@ҮАХХ7 PROC xof 
; Line 2 

push ebp 

mov ebp, esp 
; Line 3 

call ? FQ@QYAXXZ P 
; Line 4 

pop ebp 

ret 0 
?та@уАХХ7 ЕМОР Т 


..причем, если включить оптимизацию (/0х), то будет даже интереснее, без 
переполнения стека, но работать будет корректно??: 


?Т@@ҮАХХ7 PROC Е 
; Line 2 
$LL3G@f : 


55здесь ирония 
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; Line 3 
] тр SHORT $LL3@f 
? f@QYAXXZ ENDP Т 


ССС 4.4.1 генерирует точно такой же код в обоих случаях, хотя и не предупре- 
ждает о проблеме. 


ARM 


Программы для ARM также используют стек для сохранения ВА, куда нужно 
вернуться, но несколько иначе. Как уже упоминалось в секции «Hello, world!» (1.5.3 
(стр. 24)), КА записывается в регистр LR (link register). Но если есть необходи- 
мость вызывать какую-то другую функцию и использовать регистр ІК ещё раз, 
его значение желательно сохранить. 


Обычно это происходит в прологе функции, часто мы видим там инструкцию 
вроде PUSH {R4-R7,LR}, а в эпилоге РОР {R4-R7,PC} — так сохраняются pern- 
стры, которые будут использоваться в текущей функции, в том числе LR. 


Тем не менее, если некая функция не вызывает никаких более функций, в тер- 
минологии RISC она называется leaf function®®. Как следствие, «!еаЁ»-функция 
не сохраняет регистр LR (потому что не изменяет его). А если эта функция 
небольшая, использует мало регистров, она может не использовать стек вооб- 
ще. Таким образом, в ARM возможен вызов небольших [еа-функций не исполь- 
зуя стек. Это может быть быстрее чем в старых х86, ведь внешняя память для 
стека не используется 37. Либо это может быть полезным для тех ситуаций, 
когда память для стека ещё не выделена, либо недоступна, 


Некоторые примеры таких функций: 1.14.3 (стр. 138), 1.14.3 (стр. 139), 1.282 
(стр. 403), 1.298 (стр. 425), 1.28.5 (стр. 425), 1.192 (стр. 272), 1.190 (стр. 270), 
1.209 (стр. 292). 


Передача параметров функции 


Самый распространенный способ передачи параметров в X86 называется «cdecl»: 


push arg3 

push arg2 

push аго1 

call f 

add esp, 12 ; 4*3=12 


Вызываемая функция получает свои параметры также через указатель стека. 


Следовательно, так расположены значения в стеке перед исполнением самой 
первой инструкции функции Т(): 


56infocenter.arm.com/help/index.jsp?topic=/com.arm.doc.faqs/ka13785.html 

57Когда-то, очень давно, на PDP-11 n VAX на инструкцию CALL (вызов других функций) могло тра- 
титься вплоть до 50% времени (возможно из-за работы с памятью), поэтому считалось, что много 
небольших функций это анти-паттерн [Егіс S. Raymond, The Art of UNIX Programming, (2003)Chapter 
4, Part II]. 
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ЕЅР адрес возврата 

ESP+4 аргумент#1, маркируется в IDA как arg 0 
ESP+8 аргумент#2, маркируется в IDA как аго 4 
ESP+0xC | аргумент#3, маркируется в IDA как агд_8 


См. также в соответствующем разделе о других способах передачи аргумен- 
тов через стек (6.1 (стр. 940)). 


Кстати, вызываемая функция не имеет информации о количестве передан- 
ных ей аргументов. Функции Си с переменным количеством аргументов (как 
рг1пЕТ()) могут определять их количество по спецификаторам строки форма- 
та (начинающиеся со знака %). 


Если написать что-то вроде: 


ргіпі?("%а %а %4", 1234); 


рг1пїТ() выведет 1234, затем ещё два случайных числа?8, которые волею слу- 
чая оказались в стеке рядом. 


Вот почему не так уж и важно, как объявлять функцию та1п(): 
как таіп(), main(int argc, char *агд\у[]) 
либо main(int argc, char *argv[], char *епур[]). 


В реальности, СВТ-код вызывает main () примерно так: 


push епур 
push argv 
push argc 
call main 


Если вы объявляете main () без аргументов, они, тем не менее, присутствуют B 
стеке, но не используются. Если вы объявите та1п() как main(int argc, char 
жагдм[]), вы можете использовать два первых аргумента, а третий останется 
для вашей функции «невидимым». Более того, можно даже объявить main(int 
argc), и это будет работать. 


Альтернативные способы передачи аргументов 


Важно отметить, что, в общем, никто не заставляет программистов переда- 
вать параметры именно через стек, это не является требованием к исполняе- 
мому коду. Вы можете делать это совершенно иначе, не используя стек вооб- 
ще. 


В каком-то смысле, популярный метод среди начинающих использовать язык 
ассемблера, это передавать аргументы в глобальных переменных, например: 


Листинг 1.39: Код на ассемблере 


58В строгом смысле, они не случайны, скорее, непредсказуемы: 1.9.4 (стр. 51) 
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mov X, 123 

mov Y, 456 

call do_something 
X dd ? 
Y dd ? 
ао something proc near 

; take X 

; take Y 

; do something 

retn 


do_something endp 


Но у этого метода есть очевидный недостаток: ф-ция do_something() He cmo- 
жет вызвать саму себя рекурсивно (либо, через какую-то стороннюю ф-цию), 
потому что тогда придется затереть свои собственные аргументы. Та же исто- 
рия с локальными переменными: если хранить их в глобальных переменных, 
ф-ция не сможет вызывать сама себя. К тому же, этот метод не безопасный 
для мультитредовой среды??. Способ хранения подобной информации в стеке 
заметно всё упрощает — он может хранить столько аргументов ф-ций и/или 
значений вообще, сколько в нем есть места. 


В [Donald Е. Knuth, The Art of Computer Programming, Volume 1, 3rd ed., (1997), 
189] можно прочитать про еще более странные схемы передачи аргументов, 
которые были очень удобны на ІВМ System/360. 


В MS-DOS был метод передачи аргументов через регистры, например, этот 
фрагмент кода для древней 16-битной MS-DOS выводит “Hello, мопа!”: 


mov dx, msg ; адрес сообщения 

тоу аһ, 9 ; 9 означает ф-цию "вывод строки" 
int 21h ; DOS "syscall" 

mov ah, 4ch ; ф-ция "закончить программу" 

int 21h ; DOS "syscall" 


msg db 'Hello, World!\$' 


Это очень похоже на метод 6.1.3 (стр. 942). И еще на метод вызовов сисколлов 
в Linux (6.3.1 (стр. 958)) и Windows. 


Если ф-ция в MS-DOS возвращает булево значение (т.е., один бит, обычно CMT- 
нализирующий об ошибке), часто использовался флаг СЕ. 


Например: 


59При корректной реализации, каждый тред будет иметь свой собственный стек со своими 
аргументами/переменными. 
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mov аһ, Зсһ 

lea dx, filename 
mov cl, 1 

int 21h 

jc error 

mov file_handle, ax 


; создать файл 


еггог: 


В случае ошибки, флаг СЕ будет выставлен. Иначе, хэндл только что созданно- 


го файла возвращается в АХ. 


Этот метод до сих пор используется программистами на ассемблере. В исход- 
ных кодах Windows Research Kernel (который очень похож на Windows 2003) мы 


можем найти такое 


(файл base/ntos/ke/i386/cpu.asm): 


public Get386Stepping 
Get386Stepping proc 


call MultiplyTest 


jnc short 63500 
mov ax, 0 
ret 

63500: 
са11 Check386B0 
jnc short 63505 
mov ax, 100h 
ret 

63505: 
са11 Сһеск386р1 
јс short 63510 
mov ax, 301h 
ret 

G3s10: 
mov ax, 101h 
ret 


MultiplyTest proc 


xor сх, CX 
mlt0O: push сх 
са11 Multiply 


pop сх 
jc short mltx 
loop mltoo 

clc 


mltx: 


Perform multiplication test 
if nc, muttest is ok 


Check for BO stepping 
if nc, it's B1/later 
It 15 BO/earlier stepping 


Check for D1 stepping 
if c, it is NOT D1 
It is D1/later stepping 


assume it is B1 stepping 


64K times is a nice round number 
does this chip's multiply work? 


if c, No, exit 
if nc, YEs, loop to try again 
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геї 


MultiplyTest endp 


Хранение локальных переменных 


Функция может выделить для себя некоторое место в стеке для локальных 
переменных, просто отодвинув указатель стека глубже к концу стека. 


Это очень быстро вне зависимости от количества локальных переменных. Хра- 
нить локальные переменные в стеке не является необходимым требованием. 
Вы можете хранить локальные переменные где угодно. Но по традиции всё 
сложилось так. 


х86: Функция аНоса() 


Интересен случай с функцией а\Тоса() %. Эта функция работает как malloc(), 
но выделяет память прямо в стеке. Память освобождать через Ёгее() не нуж- 
но, так как эпилог функции (1.6 (стр. 40)) вернет ЕЅР в изначальное состояние 
и выделенная память просто выкидывается. Интересна реализация функции 
alloca(). Эта функция, если упрощенно, просто сдвигает ESP вглубь стека на 
столько байт, делая так, что ЕЅР указывает на выделенный блок. 


Попробуем: 


#ifdef __ GNUC 

#include <alloca.h> // GCC 
#else 

#include <malloc.h> // MSVC 
#endif 

#include <stdio.h> 


void f() 


{ 

char xbuf=(char*)alloca (600); 
#ifdef _ смс __ 

snprintf (buf, 600, "hi! %d, %d, %4\п", 1, 2, 3); // GCC 
#е15е 

_snprintf (buf, 600, "hi! %d, %а, %d\n", 1, 2, 3); // М5\С 
#епаі? 


puts (buf); 
}; 


Функция snprintf() работает так же, каки printf(), только вместо выдачи 
результата в stdout (т.е. на терминал или в консоль), записывает его в буфер 
buf. Функция риї<5() выдает содержимое буфера buf в stdout. Конечно, можно 
было бы заменить оба этих вызова на один printf(), но здесь нужно проиллю- 
стрировать использование небольшого буфера. 


60B М5\С, реализацию функции можно посмотреть в файлах а\11оса16.аѕт и chkstk.asm в 
C:\Program Files (x86)\Microsoft Visual Studio 10.0\VC\crt\src\intel 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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MSVC 


Компилируем (MSVC 2010): 
Листинг 1.40: MSVC 2010 


mov eax, 600 ; 00000258H 


call alloca_probe_16 
mov esi, esp 

push 3 

push 2 

push 1 

push OFFSET $562672 
push 600 ; 00000258H 
push ез1 

call __snprintf 

push esi 

call puts 


add esp, 28 


Единственный параметр в alloca() передается через EAX, a не как обычно 


через стек 51. 
ССС + Синтаксис Intel 


А ССС 4.4.1 обходится без вызова других функций: 
Листинг 1.41: ССС 4.7.3 


. ЕСО: 
„string "hi! %d, %4, %4\п" 
Тї 
push ebp 
mov ebp, esp 
push ebx 
sub esp, 660 
lea ebx, [esp+39] 
and ebx, -16 ; выровнять указатель по 16-байтной 
границе 
mov DWORD PTR [esp], ebx ; 5 
mov DWORD PTR [esp+20], 3 
61Это потому, что alloca() — это не сколько функция, сколько T.H. compiler intrinsic (10.4 


(стр. 1247)) Одна из причин, почему здесь нужна именно функция, а не несколько инструкций 
прямо в коде в том, что в реализации функции alloca() от М5\УС®? есть также код, читающий из 
только что выделенной памяти, чтобы ОС подключила физическую память к этому региону VM®3, 
После вызова alloca() ESP указывает на блок в 600 байт, который мы можем использовать под 


buf. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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mov DWORD PTR [esp+16], 2 

mov DWORD PTR [esp+12], 1 

mov DWORD PTR [esp+8], OFFSET FLAT:.LCO ; “hi! %d, %d, %d\n" 
mov DWORD PTR [esp+4], 600 ; maxlen 

call _snprintf 

mov DWORD PTR [esp], ebx ; 5 

call puts 

mov ebx, DWORD РТА [ebp-4] 

leave 

ret 


ССС + Синтаксис AT&T 


Посмотрим на тот же код, только в синтаксисе AT&T: 


Листинг 1.42: ССС 4.7.3 


.LCO: 
.String "hi! %d, %d, %d\n" 


pushl %ebp 
movl %esp, %ebp 
pushl %ерх 
subl $660, %esp 


leal 39(%esp), %ebx 
andl $-16, %ebx 
movl %ebx, (%esp) 
movl $3, 20(%esp) 
movl $2, 16(%esp) 
movl $1, 12(%esp) 
movl $.1С0, 8(%еѕр) 
movl $600, 4(%esp) 
call _snprintf 

movl %ebx, (%esp) 
call puts 

movl -4(%ebp), %ebx 
leave 

ret 


Всё то же самое, что и в прошлом листинге. 


Кстати, movl $3, 20(%е5р) — это аналог mov DWORD РТК [еѕр+20], З в синтак- 
сисе Intel. Адресация памяти в виде регистр+смещение записывается в синтак- 
сисе АТ&Т как смещение (%регистр). 


(Windows) SEH 


В стеке хранятся записи 5ЕНб* для функции (если они присутствуют). Читайте 
больше о нем здесь: (6.5.3 (стр. 982)). 


64Structured Exception Handling 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Защита от переполнений буфера 


Здесь больше об этом (1.26.2 (стр. 347)). 


Автоматическое освобождение данных в стеке 


Возможно, причина хранения локальных переменных и ЅЕН-записей в стеке в 
том, что после выхода из функции, всё эти данные освобождаются автомати- 
чески, используя только одну инструкцию корректирования указателя стека 
(часто это ADD). Аргументы функций, можно сказать, тоже освобождаются AB- 
томатически в конце функции. А всё что хранится в куче (ћеар) нужно осво- 
бождать явно. 


1.9.3. Разметка типичного стека 


Разметка типичного стека в 32-битной среде перед исполнением самой первой 
инструкции функции выглядит так: 


Е5Р-ОхС | локальная переменная#2, маркируется в IDA как var 8 


ЕЅР-8 локальная переменная#1, маркируется в IDA как var 4 
ЕЅР-4 сохраненное значениеЕВР 
ЕЅР Адрес возврата 


ESP+4 аргумент#1, маркируется в IDA как arg 0 
ESP+8 аргумент#2, маркируется в IDA как аго 4 
ESP+0xC | аргумент#3, маркируется в IDA как агд_8 


1.9.4. Мусор в стеке 


When one says that something seems 
random, what one usually means in practice 
is that one cannot see any regularities in it. 


Stephen Wolfram, A New Kind of Science. 


Часто в этой книге говорится о «шуме» или «мусоре» в стеке или памяти. Отку- 
да он берется? Это то, что осталось там после исполнения предыдущих функ- 
ций. 


Короткий пример: 


#include <stdio.h> 


void f1() 
{ 


}; 


int а=1, 6=2, с=3; 


void 12() 
{ 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


int а, b, с; 
printf ("%а, %а, %а\п", а, b, с); 


}; 
int таіп() 
{ 
11(); 
12(); 
$; 
Компилируем... 
Листинг 1.43: Неоптимизирующий MSVC 2010 
$562752 ОВ '%4, %4, %4', бан, 00Н 
_с$ = -12 ; 51те = 4 
_6$ = -8 ; size = 4 
_а$ = -4 ; 5176 = 4 
_ 11 PROC 
push ebp 
mov ebp, esp 
sub esp, 12 
mov DWORD PTR _a$[ebp], 1 
mov DWORD PTR _b$[ebp], 2 
mov DWORD PTR _с$[ебр], З 
mov esp, ebp 
pop ebp 
ret 0 

fl ENDP 

_c$ = -12 ; size=4 

b$ = -8 ; 51те = 4 

_а$ = -4 ; 5176 = 4 

_ №2 PROC 
push ebp 
mov ebp, esp 
sub esp, 12 
mov eax, DWORD PTR _с$[ебр] 
push eax 
mov ecx, DWORD PTR _b$[ebp] 
push ecx 
mov edx, DWORD PTR _a$[ebp] 
push edx 
push OFFSET $562752 ; '%d, %d, %d' 
call DWORD PTR _imp_ printf 
add esp, 16 
mov esp, ebp 
pop ebp 
ret 0 

_12 ЕМОР 

_main PROC 
push ebp 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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mov ebp, esp 
call _ 11 
call _f2 
xor eax, eax 
pop ebp 
ret 0 

_таіп ЕМОР 


Компилятор поворчит немного... 


с:\Ро1удоп\с>сі st.c /Ғаѕї.аѕт /МО 

Microsoft (В) 32-bit С/С++ Optimizing Compiler Version 16.00.40219.01 for р 
S 80х86 

Copyright (C) Microsoft Corporation. All rights reserved. 


st.c 

c:\polygon\c\st.c(11) : warning C4700: uninitialized local variable 'c' 2 
„ used 

c:\polygon\c\st.c(11) : warning C4700: uninitialized local variable 'b' 2 
„ used 

c:\polygon\c\st.c(11) : warning C4700: uninitialized local variable 'a' / 
„ used 


Microsoft (R) Incremental Linker Version 10.00.40219.01 
Copyright (C) Microsoft Corporation. All rights reserved. 


/out:st.exe 
st.obj 


Ho когда мы запускаем... 


с: \Ро1удоп\с>51 
1, 2, 3 


Ох. Вот это странно. Мы ведь не устанавливали значения никаких переменных 
в Ғ2(). Эти значения — это «привидения», которые всё ещё в стеке. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Загрузим пример в OllyDbg: 


РУЗН_ЕВР 

МОМ ЕВР,ЕЅР 

SUB ESP, ВС 

MOU DWORD РТВ SS:[LOCAL.1],1 
MOU DWORD РТВ SS:[LOCAL.2],2 
MOU DWORD РТВ SS:[LOCAL. 3], 3 
МОУ ESP, EBP 


РОР ЕВР" 

RETN : 

INTS 

PUSH ЕВР > t.012C101B 

MOU EBP, ESP ; › 32bit В(ЕЕЕЕЕЕЕЕ) 


..mss ss af 


SUB ESP, OC е 
HOU, EAX, DWORD PTR $8: [LOCAL. 3] SEDIA Ө EEETEETE] 
МОЙ ECX, DWORD PTR : | Е. 


t ZEFODOOO( FFF) 
t ØLFFFFFFFF) 


8| RETURN from st. 012C 


RETURN from =7.012С 
v 


Рис. 1.6: OllyDbg: f1() 


Когда f1() заполняет переменные a, b n сони сохраняются по адресу 0x1FF860, 
ит. д. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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А когда исполняется 12 (): 


Fie View Debug Тгасе plugins Options Windows Help 


main thread, module st 


S3EC ВС SUB ESP, ØC 
8845 F4 МОУ EAX, DWORD РТВ SS:[LOCAL.3] 
58 РОЅН ЕЯХ 


8840 F8 MOU ECX, DWORD PTR SS:[CLOCAL.2] NA 
8855 FC MOU EDX, DWORD РТВ S8S:[CLOCAL. 17 ЕО 
52 Н EDX 


PUSI 

68 gagazcal |PUSH OFFSET 81208998 
ES 25000008 |CALL 81261961 

83с4 10 ADD ESP, 

MOU ESP, EBP 

POP EBP @(ЕЕЕЕЕЕЕЕ) 
@(ЕЕЕЕЕЕЕЕ) 
@(ЕЕЕЕЕЕЕЕ) 
@(ЕЕЕЕЕЕЕЕ) 


2 Sø FØ 7ZEFDDØGØL FFF) 
[881Е28581=3 й GS 9928 ØLFFFFFFFF) 


Stack 
ЕЯХ=000С2888 


УП EFL 00000212 (М0, МВ, МЕ, Я, М5,РО 


58] ЕЕРЕРЕЕЕ] в 


па! да СВ 191 81 Ø 

дя ба ій йй йй да да а 

йй ай В 

да йй йй 28| 6 Е 

ай ВВ 7 ЯВ С $$.812С 

ай па В да = 

99 AA 15 AG k RETURN from st. 012C 
Я Ad 


Рис. 1.7: OllyDbg: f2() 


... а би св функции f2() находятся по тем же адресам! Пока никто не переза- 
писал их, так что они здесь в нетронутом виде. Для создания такой странной 
ситуации несколько функций должны исполняться друг за другом и SP должен 
быть одинаковым при входе в функции, т.е. у функций должно быть равное 
количество аргументов). Тогда локальные переменные будут расположены в 
том же месте стека. Подводя итоги, все значения в стеке (да и памяти вообще) 
это значения оставшиеся от исполнения предыдущих функций. Строго говоря, 
они не случайны, они скорее непредсказуемы. А как иначе? Можно было бы 
очищать части стека перед исполнением каждой функции, но это слишком 
много лишней (и ненужной) работы. 


MSVC 2013 


Этот пример был скомпилирован в М5\/С 2010. Но один читатель этой книги 
сделал попытку скомпилировать пример в MSVC 2013, запустил и увидел 3 
числа в обратном порядке: 


с:\Ро1удоп\с>51 
3, 2, 1 


Почему? Я также попробовал скомпилировать этот пример в М5\/С 2013 и уви- 
дел это: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Листинг 1.44: MSVC 2013 


_а$ = -12 ; 51те = 4 
_6$ = -8 ; 51те = 4 
_c$ = -4 : Size = 4 
_f2 PROC 
f2 ENDP 
_c$ = -12 ; size=4 
_b$ = -8 ; size = 4 
a$ = -4 ; size = 4 
_11 PROC 
fl ENDP 


В отличии от MSVC 2010, MSVC 2013 разместил переменные a/b/c в функции 
Т2 () в обратном порядке. И это полностью корректно, потому что в стандартах 
Си/Си- + нет правила, в каком порядке локальные переменные должны быть 
размещены в локальном стеке, если вообще. Разница есть из-за того что MSVC 
2010 делает это одним способом, а в MSVC 2013, вероятно, что-то немного 
изменили во внутренностях компилятора, так что он ведет себя слегка иначе. 


1.9.5. Упражнения 


e Пр: //сһа11епдеѕ. ге/51 
e Пр: //сһа11епдеѕ. ге/52 


1.10. Почти пустая ф-ция 


Это фрагмент реального кода найденного в Воо!есїог®°”: 


// forward declaration. the function is residing іп some other module: 
int boolector_main (int argc, char жжагду); 


// executable 
int main (int argc, char жжагду) 


{ 
} 


return boolector main (argc, argv); 


Зачем кому-то это делать? Не ясно, но можно предположить что boolector main() 
может быть скомпилирована в виде DLL или динамической библиотеки, и MO- 
жет вызываться во время тестов. Конечно, тесты могут подготовить перемен- 
ные агдс/агду так же, как это сделал бы СВТ. 


65https://boolector.github. 10/ 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Интересно, как это компилируется: 


Листинг 1.45: Неоптимизирующий ССС 8.2 x64 (вывод на ассемблере) 


та1п: 


push rbp 

mov rbp, rsp 

sub rsp, 16 

mov DWORD PTR -4[rbp], edi 

mov QWORD PTR -16[rbp], rsi 
mov rdx, QWORD PTR -16[rbp] 
mov eax, DWORD PTR -4[rbp] 

mov rsi, rdx 

mov edi, eax 

call boolector_main 

leave 

ret 


Здесь y нас: пролог, ненужная (не соптимизированная) перетасовка двух ap- 
гументов, САШ, эпилог, ВЕТ. Посмотрим на оптимизированную версию: 


Листинг 1.46: Оптимизирующий ССС 8.2 х64 (вывод на ассемблере) 


main: 
jmp boolector_main 


Вот так просто: стек/регистры остаются как есть, а ф-ция boolector main() 
имеет тот же набор аргументов. Так что всё что нужно, это просто передать 
управление по другому адресу. 


Это близко к thunk function. 


Кое-что посложнее мы увидим позже: 1.11.2 (стр. 73), 1.21.1 (стр. 203). 


1.11. printf() с несколькими аргументами 


Попробуем теперь немного расширить пример Hello, world! (1.5 (стр. 12)), Ha- 
писав в теле функции таіп (): 


#include <stdio.h> 


int main() 

{ 
printf("a=%d; b=%d; c=%d", 1, 2, 3); 
return 0; 


}; 


1.11.1. х86 


х86: 3 целочисленных аргумента 


MSVC 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Компилируем при помощи MSVC 2010 Express, и в итоге получим: 


$563830 ОВ 'а=%а; b=%d; с=%4', ӨӨН 
push 3 
push 2 
push 1 
push OFFSET $563830 
call _printf 
add esp, 16 


Всё почти TO же, за исключением того, что теперь видно, что аргументы для 
рг1пї1() заталкиваются в стек в обратном порядке: самый первый аргумент 
заталкивается последним. 


Кстати, вспомним, что переменные типа тЁв 32-битной системе, как известно, 
имеют ширину 32 бита, это 4 байта. 


Итак, у нас всего 4 аргумента. 4 *4 = 16 — именно 16 байт занимают в стеке 
указатель на строку плюс ещё З числа типа int. 


Когда при помощи инструкции ADD ESP, X корректируется указатель стека 
ЕЅР после вызова какой-либо функции, зачастую можно сделать вывод о том, 
сколько аргументов у вызываемой функции было, разделив Х на 4. 


Конечно, это относится только к сӣес!і-методу передачи аргументов через стек, 
и только для 32-битной среды. 


См. также в соответствующем разделе о способах передачи аргументов через 
стек (6.1 (стр. 940)). 


Иногда бывает так, что подряд идут несколько вызовов разных функций, но 
стек корректируется только один раз, после последнего вызова: 


push al 
push a2 
call 

push al 
call 

push al 
push a2 
push a3 


call 
add esp, 24 


Вот пример из реальной жизни: 


Листинг 1.47: х86 


.Техт:100113Е7 push 3 
.text:100113E9 call sub 100018В0 ; берет один аргумент (3) 
.text:100113EE call sub_100019D0 ; не имеет аргументов вообще 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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.Техт:100113ЕЗ call sub 10006А90 ; не имеет аргументов вообще 
.text:100113F8 push 1 

.text:100113FA call sub_100018B0 ; берет один аргумент (1) 
.text:100113FF add esp, 8 ; выбрасывает из стека два аргумента 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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MSVC и OllyDbg 


Попробуем этот же пример B OllyDbg. Это один из наиболее популярных win32- 
отладчиков пользовательского режима. Мы можем компилировать наш при- 
мер B MSVC 2012 сопцией /Мр что означает линковать с библиотекой М5\УСВ* . DLL, 
чтобы импортируемые функции были хорошо видны в отладчике. 


Затем загружаем исполняемый файл в OllyDbg. Самая первая точка останова в 
ntdll.dll, нажмите F9 (запустить). Вторая точка останова в СВТ-коде. Теперь 
мы должны найти функцию та1п(). 


Найдите этот код, прокрутив окно кода до самого верха (MSVC располагает 
функцию та1п() в самом начале секции кода): 


СРО - main thread, module 1 


РИ5Н ЕВР Registers (FPU) 
ГОО ЕВРеЕВР ДХ 67388634 MSUCR110.—initeny 
СХ BOSBCE1S 
PUSH 2 @йй@йййй 
РОЗН 1 00000008 
PUSH OFFSET 81223888 ESP 80222936 
CALL DWORD PTR 05: [<&MSUCR110.printf>] р 90555975 
ADD ESP, 18 SI йй 
XOR EAX, EAX 
РОР ЕВР = 
Сз RETN 
B8 40548808 | МОО EAX, 5A4D с@ ES 0928 22bit В(ЕЕЕЕЕЕЕЕ) 
66:3905 aaj СМР WORD PTR DS:[<STRUCT IMAGE_DOS_HEAD p { а it ВСЕЕЕЕЕЕЕЕ) 
74 84 ЈЕ SHORT 81221820 на <= 9056 22bit В(ЕЕЕЕЕЕЕЕ) 
ХОВ EAX, EAX А z it ØLFFFFFFFF) 
UP SHORT а я S FS it ZEFODØGALFFF) 


„у 


Address [Нен чи и аа 
012 ajel 5 2 25 = 25 © Б 


64| а 


1 
РЕ FF РР РЕ РР 
ай йй йй йй йй па ва ві 
да 
да 
да 
да 00 ай 
ай ай йй йй йй йй йй йй йй 
п. 00 AA ПЯ пя па AA од ай 


Рис. 1.8: OllyDbg: самое начало функции таіп () 


Кликните на инструкции РОЅН ЕВР, нажмите Е2 (установка точки останова) и 
нажмите F9 (запустить). Нам нужно произвести все эти манипуляции, чтобы 
пропустить СВТ-код, потому что нам он пока не интересен. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Нажмите Е8 (сделать шаг, не входя в функцию) 6 раз, т.е. пропустить 6 ин- 
струкций: 


CPU - main геад, module 1 


PUSH ЕВР 
МОУ ЕВР,ЕЅР 
PUSH 3 
PUSH 2 


PUSH 1 

68 ЙЯЗӢ2Е0} |РУЗН OFFSET 912238988 : 

FF15 ЭЙРИРЕЙ CALL DWORD PTR DS:[<&MSUCR110.printf>] 
83C4 10 ADD ESP, 10 

33С8 XOR EAX, EAX 

50 РОР ЕВР _ 2 

сз RETN › Ø12F100E 1.012F100E 

BS 40589888 | MOU EAX, SA40 С @ ES 002B sit Ө(ЕЕЕЕЕЕЕЕ) 
66:3905 ПИ] СМР WORD PTR DS:[<STRUCT ТМЯБЕ_00$_НЕЯО Б { Я О(ЕЕЕЕЕЕЕЕ} 
74 04 Ji g 


= Е SHORT 8121026 P 1 0023 32614 8 
> заса ХОВ EAX, EAX Р DOCE ЗЕРГЕ @ГЕЕЕЕЕЕРЕ] 


- ?ЕЕ00898(ЕЕЕ} 


A v = Ц шь и Б С 
[012F2090]=6AS6EDF4 (MSUCR110. printf) 5 а GS 98 {Е Я(ЕЕЕЕЕЕЕЕ) 
4 EFL ð 246 0, ,Е,ВЕ, NS Е, ВЕ, 
8. 


| Address [Нен dump | 


61 5 


Я 91 ай 

йй да 

йй йй 

йй йй 

йй ав 
па во ва ва ве ва ва ва йй йй ва 
па пя пя пя пя ря пя пя пя пя пя 


Рис. 1.9: OllyDbg: перед исполнением printf() 


Теперь РС указывает на инструкцию CALL printf. OllyDbg, как и другие отлад- 
чики, подсвечивает регистры со значениями, которые изменились. Поэтому 
каждый раз когда мы нажимаем Е8, ЕТР изменяется и его значение подсве- 
чивается красным. ЕЅР также меняется, потому что значения заталкиваются в 
стек. 


Где находятся эти значения в стеке? Посмотрите на правое нижнее окно в 
отладчике: 


БЯЗБЕЕВЗ| юе ЈГ RETURN from MSUCR110.6A2FFFAF ж 
- Йюб. | RETUR а Е 


00| 070| ASCII "а 
[2] 


012F121C| 1 Ф/@ RETURN from 1.012F1000 то 1.0 
2| гововваві В 

OOSBIFBS| JAL 
31| 885ВСЕ!З Мг 


Рис. 1.10: OllyDbg: стек с сохраненными значениями (красная рамка добавлена 
в графическом редакторе) 


Здесь видно 3 столбца: адрес в стеке, значение в стеке и ещё дополнительный 
комментарий от OllyDbg. OllyDbg может находить указатели на А5СІІ-строки в 
стеке, так что он показывает здесь printf () -строку. 


Можно кликнуть правой кнопкой мыши на строке формата, кликнуть на «Follow 
іп dump» и строка формата появится в окне слева внизу, где всегда виден 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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какой-либо участок памяти. Эти значения в памяти можно редактировать. Мож- 
но изменить саму строку формата, и тогда результат работы нашего примера 
будет другой. В данном случае пользы от этого немного, но для упражнения 
это полезно, чтобы начать чувствовать как тут всё работает. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Нажмите F8 (сделать шаг, не входя в функцию). 


В консоли мы видим вывод: 


а=1; 6=2; с=3 


Посмотрим как изменились регистры и состояние стека: 


PUSH ЕВР 3 FPU 
О ЕВР,ЕР бе EEEN . 
атн С БаЗБЕЕВЯ MSUCR110. 6Я36ЕЕ89 


іп thread, module 1 0х] 
ава 2 


РОЗН 1 
PUSH ОРЕЗЕТ 81223988 | PTR to ASCII "а=йд; 
30202-0 CALL DWORD PTR DS:[<&MSUCR110.printf>] аа Е 
ADD ЕЗР, 18 

XOR EAX, EAX 
РОР ЕВР кин 
єз ВЕТМ 1.012F1014 

BS 40518888 | МОИ EAX, 5A4D са ‚| В(ЕЕЕЕЕЕЕЕ) 
. 66:3905 ğü] СМР ШОВО РТВ 05: [<$ТВИСТ ТМЯВЕ_00$_НЕЯАО Б 1 ә Я(ЕЕЕЕЕЕЕЕ) 
v 74 04 ЈЕ SHORT Ві2Ғ1920 на G02 22bit Ө(ЕЕЕЕЕЕЕЕ) 
> 338 ХОБ EAX, EAX 1 В9>В 22bit Ө(ЕЕЕЕЕЕЕЕ) 
БЕ ži Ц A мя 50 Е jit ТЕЕППӘЙЙ(ЕРЕ) 
ВОЙТИ (decimal 16.) а GS 9928 32bit й! | 
22F928, PTR to ASCII "а=; Б=ИЧ; с=ха" a ^^ РЕВ 


| Address [Нен dump и msia 
в 30 4 3 й О ›4| а= 9; 
øj g йй й 
Ø| ЕЕ FF ЕЕ FF FF FF 
joa ва па! ов йй йй 
а СЕ В йй 
йй 
йй 
йй 
йй 


Рис. 1.11: OllyDbg после исполнения printf() 


Регистр EAX теперь содержит 0xD (13). Всё верно: printf () возвращает konnye- 
ство выведенных символов. Значение ЕТР изменилось. Действительно, теперь 
здесь адрес инструкции после CALL printf. Значения регистров ECX и EDX Tak- 
же изменились. Очевидно, внутренности функции ргіпї? () используют их для 
каких-то своих нужд. 


Очень важно то, что значение ЕЅР не изменилось. И аргументы-значения в сте- 
ке также! Мы ясно видим здесь и строку формата и соответствующие ей 3 
значения, они всё ещё здесь. Действительно, по соглашению вызовов cdecl, 
вызываемая функция не возвращает ESP назад. Это должна делать вызываю- 
щая функция (caller). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Нажмите Е8 снова, чтобы исполнилась инструкция Арр ЕЅР, 10: 


CPU - тат thread, module 1 Ioj хі 
PUSH ЕВР Е Е 
В й . MOU ЕВР,ЕЅР 

й PUSH 3 

PUSH 2 

PUSH 1 

PUSH OFFSET 012F3000 

CALL DWORD PTR DS:[<&MSUCR110.printf>] 
ADD ESP, 18 

XOR EAX, EAX 

РОР ЕВР 

ВЕТМ 


MSUCR110. БАЗбЕЕЗЭ 


а 
EIP @12Е1@17 1.012F1017 
MOU EAX, 5840 св Ее ØLFFFFFFFF) 
5 gaga СМР WORD PTR DS:[C<STRUCT IMAGE _DOS_HEADI ; С ЕЕЕЕЕЕЕЕ) 
ЧЕ SHORT 81221920 но С ЕРЕЕЕЕЕЕ) 
ХОБ EAX EAX оо д Е Я(ЕРЕЕЕЕЕЕ) 
МР SHORT а А 5 й FS 7ЕРООВВВ(ЕЕЕ) 
д GS 9928 В(ЕРЕЕЕЕЕЕ) 


LastErr UCCESS 
00000202 СМО, МВ, ^ 
заана 


йй йй йй во 91 йй йй йй 
РЕ FF РЕ РЕ ЕЕ FF РЕ FF 


Рис. 1.12: OllyDbg: после исполнения инструкции ADD ESP, 10 


ЕЅР изменился, но значения всё ещё в стеке! Конечно, никому не нужно за- 
полнять эти значения нулями или что-то в этом роде. Всё что выше указателя 
стека (SP) это шум или мусор и не имеет особой ценности. Было бы очень за- 
тратно по времени очищать ненужные элементы стека, к тому же, никому это 
и не нужно. 


GCC 


Скомпилируем то же самое B Linux при помощи GCC 4.4.1 и посмотрим Ha pe- 
зультат в IDA: 


main proc near 

var_10 = dword ptr -10h 

var C = dword ptr —0Сһ 

var 8 = dword ptr -8 

маг 4 = амога ptr -4 
push ebp 
mov ebp, esp 
and esp, OFFFFFFFOh 
sub esp, 10h 
mov eax, offset aADBDCD ; "a=%d; b=%d; c=%d" 
mov [esp+10h+var 4], 3 
mov [esp+10h+var 8], 2 
mov [esp+10h+var C], 1 
mov [esp+10h+var_10], eax 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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call _printf 
mov eax, 0 
leave 
retn 

main endp 


Можно сказать, что этот короткий код, созданный ССС, отличается от кода 
МУС только способом помещения значений в стек. Здесь ССС снова работает 
со стеком напрямую без РОЅН/РОР. 


GCC и GDB 


Попробуем также этот пример и в СОВ в Linux. 


-g означает генерировать отладочную информацию в выходном исполняемом 
файле. 


$ gcc 1.с -g -o 1 


$ gdb 1 
GNU gdb (GDB) 7.6.1-ирип+и 


Reading symbols from /home/dennis/polygon/1...done. 


Листинг 1.48: установим точку останова Ha printf() 


(gdb) b printf 
Breakpoint 1 at 0x80482f0 


Запускаем. У нас нет исходного кода функции, поэтому GDB не может ero no- 
казать. 


(gdb) run 
Starting program: /home/dennis/polygon/1 


Breakpoint 1, _ printf (format=0x80484f0 "a=%d; b=%d; c=%d") at printf.c:29 
29 printf.c: No such file or directory. 


Выдать 10 элементов стека. Левый столбец — это адрес в стеке. 
(gdb) х/10м $еѕр 


Oxbffff11c: 0x0804844a 0x080484f0 0x00000001 0x00000002 
Oxbffff12c: 0x00000003 0x08048460 0x00000000 0x00000000 
Oxbffff13c: 0xb7e29905 0x00000001 


Самый первый элемент это RA (0x0804844a). Мы можем удостовериться в этом, 
дизассемблируя память по этому адресу: 


66GNU Debugger 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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(gdb) х/51 0х0804844а 
0х804844а <та1п+45>: mov $0х0,%еах 
0x804844f <та1п+50>: leave 
0x8048450 <main+51>: ret 
0x8048451: xchg %ах,%ах 
0x8048453: xchg %ах,%ах 


Две инструкции XCHG это холостые инструкции, аналогичные МОР. 


Второй элемент (0х080484?0) это адрес строки формата: 


(gdb) х/5 0x080484f0 
0x80484f0: "a=%d; b=%d; c=%d" 


Остальные 3 элемента (1, 2, 3) это аргументы функции printf(). Остальные 
элементы это может быть и мусор в стеке, но могут быть и значения от других 
функций, их локальные переменные, и т. д. Пока что мы можем игнорировать 
их. 


Исполняем «finish». Это значит исполнять все инструкции до самого конца 
функции. В данном случае это означает исполнять до завершения printf(). 


(gdb) finish 

Run till exit from #0 printf (format=0x80484f0 "a=%d; b=%d; c=%d") at / 
S printf.c:29 

main () at 1.c:6 

6 return 0; 

Value returned is $2 = 13 


GDB показывает, что вернула printf () в EAX (13). Это, так же как и в примере 
c OllyDbg, количество напечатанных символов. 


А ещё мы видим «return 0;» и что это выражение находится в файле 1 .с в стро- 
ке 6. Действительно, файл 1.с лежит в текущем директории и СОВ находит 
там эту строку. Как СОВ знает, какая строка Си-кода сейчас исполняется? Ком- 
пилятор, генерируя отладочную информацию, также сохраняет информацию 
о соответствии строк в исходном коде и адресов инструкций. СОВ это всё-таки 
отладчик уровня исходных текстов. 


Посмотрим регистры. 13 в ЕАХ: 


(gdb) info registers 


eax 0ха 13 

есх 0х0 0 

ейх 0х0 0 

ерх 0xb7fc0000 -1208221696 
esp Oxbffff120 Oxbffff120 
ebp Oxbffff138 Oxbffff138 
esi 0x0 0 

еді 0x0 0 


е1р 0х804844а 0х804844а <та1п+45> 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Попробуем дизассемблировать текущие инструкции. Стрелка указывает на ин- 
струкцию, которая будет исполнена следующей 


(gdb) disas 
Dump of assembler code for function main: 


0x0804841d <+0>: push %ebp 

0х0804841е <+1>: mov %esp,%ebp 
0x08048420 <+3>: and ФОХТТҒТҒТҒО, %esp 
0x08048423 <+6>: sub $0х10,%еѕр 
0х08048426 <+9>: movl — $0х3,0хс (%е5р) 
0х0804842е <+17>: movl $0х2,0х8 (%esp) 


0x08048436 <+25>: movl $0x1,0x4(%esp) 
0x0804843e <+33>: movl $0x80484f0, (%esp) 


0x08048445 <+40>: call 0x80482f0 <printf@plt> 
=> 0x0804844a <+45>: mov $0х0 ,%еах 

0x0804844f <+50>: leave 

0x08048450 <+51>: ret 


End of assembler dump. 


По умолчанию GDB показывает дизассемблированный листинг в формате AT&T. 
Но можно также переключиться в формат Intel: 


(gdb) set disassembly-flavor intel 
(gdb) disas 
Dump of assembler code for function main: 


0x0804841d <+0>: push ebp 

0х0804841е <+1>: mov ebp,esp 

0x08048420 <+3>: and esp,OxfffffffO 

0x08048423 <+6>: sub esp, 0x10 

0x08048426 <+9>: mov DWORD PTR [esp+0xc],0x3 

0x0804842e <+17>: mov DWORD PTR [esp+0x8],0x2 

0x08048436 <+25>: mov DWORD PTR [esp+0x4],0x1 

0x0804843e <+33>: mov DWORD PTR [esp], 0x80484f0 

0x08048445 <+40>: call 0x80482f0 <printf@plt> 
=> 0x0804844a <+45>: mov eax, 0x0 

0x0804844f <+50>: leave 

0x08048450 <+51>: ret 


End of assembler dump. 


Исполняем следующую строку Си/Си++-кода. GDB покажет закрывающуюся 
скобку, означая, что это конец блока в функции. 


(gdb) step 
7 }; 


Посмотрим регистры после исполнения инструкции MOV EAX, 0. EAX здесь уже 
действительно ноль. 


(gdb) info registers 


eax 0x0 0 
есх 0х0 0 
edx 0x0 0 
ерх 0xb7fc0000 -1208221696 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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еѕр Oxbffff120 Oxbffff120 
ebp Oxbffff138 Oxbffff138 
esi 0x0 0 
edi 0x0 0 


е1р 0x804844f 0x804844f <main+50> 


x64: 8 целочисленных аргументов 


Для того чтобы посмотреть, как остальные аргументы будут передаваться че- 
рез стек, изменим пример ещё раз, увеличив количество передаваемых аргу- 
ментов до 9 (строка формата printf() и 8 переменных типа int): 


#include <stdio.h> 


int main() 
{ 
printf("a=%d; b=%d; c=%d; d=%d; e=%d; f=%d; g=%d; h=%d\n", 1, 2, 3,2 
G 4, 5; 6, Ta 8); 
return 0; 


}; 


MSVC 


Как уже было сказано ранее, первые 4 аргумента B Win64 передаются B pern- 
страх RCX, RDX, R8, R9, а остальные — через стек. Здесь мы это и видим. Впрочем, 
инструкция РУЗН не используется, вместо неё при помощи МО\ значения сразу 
записываются в стек. 


Листинг 1.49: MSVC 2012 x64 


$562923 ОВ 'а=%4; b=%d; с=%4; d=%d; е=%4; f=%d; g=%d; һ=%а', бан, 00Н 
main PROC 
sub rsp, 88 
mov DWORD PTR [rsp+64], 8 
mov DWORD PTR [rsp+56], 7 
mov DWORD PTR [rsp+48], 6 
mov DWORD PTR [rsp+40], 5 
mov DWORD PTR [rsp+32], 4 
mov r9d, 3 
mov r8d, 2 
mov edx, 1 
lea rcx, OFFSET FLAT :$SG2923 
call printf 
; возврат 0 
хог еах, еах 
ада гѕр, 88 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


69 


геї 0 
та1п ЕМОР 
_ТЕХТ ENDS 


END 


Наблюдательный читатель может спросить, почему для значений типа int oT- 
водится 8 байт, ведь нужно только 4? Да, это нужно запомнить: для значений 
всех типов более коротких чем 64-бита, отводится 8 байт. Это сделано для 
удобства: так всегда легко рассчитать адрес того или иного аргумента. К то- 
му же, все они расположены по выровненным адресам в памяти. В 32-битных 
средах точно также: для всех типов резервируется 4 байта в стеке. 


GCC 


В *М!Х-системах для х86-64 ситуация похожая, вот только первые 6 аргумен- 
тов передаются через ВОТ, RSI, RDX, RCX, R8, R9. Остальные — через стек. ССС 
генерирует код, записывающий указатель на строку в ЕРТ вместо КОТ — это 
мы уже рассмотрели чуть раньше: 1.5.2 (стр. 22). 


Почему перед вызовом ргіпї? () очищается регистр EAX мы уже рассмотрели 
ранее 1.5.2 (стр. 22). 


Листинг 1.50: Оптимизирующий ССС 4.4.6 x64 


.LCO: 
.String "a=%d; b=%d; c=%d; d=%d; e=%d; f=%d; g=%d; h=%d\n" 
main: 
sub rsp, 40 
mov r9d, 5 
mov r8d, 4 
mov ecx, 3 
mov edx, 2 
mov esi, 1 
mov edi, OFFSET FLAT: .LCO 
xor eax, eax ; количество переданных векторных регистров 
mov DWORD PTR [rsp+16], 8 
mov DWORD PTR [rsp+8], 7 
mov DWORD PTR [rsp], 6 
call printf 
; возврат 0 
хог еах, еах 
add rsp, 40 
ret 
GCC + GDB 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Попробуем этот пример в СОВ. 


$ gcc -g 2.с -о 2 


$ дар 2 
GNU gdb (GDB) 7.6. 1-ирип*и 


Reading symbols from /home/dennis/polygon/2...done. 


Листинг 1.51: ставим точку останова на printf(), запускаем 


(gdb) b printf 

Breakpoint 1 at 0x400410 

(gdb) run 

Starting program: /home/dennis/polygon/2 


Breakpoint 1, __ printf (format=0x400628 "a=%d; b=%d; c=%d; d=%d; e=%d; f=%d/ 
$; g=%d; h=%d\n") at printf.c:29 
29 printf.c: No such file or directory. 


В регистрах RSI/RDX/RCX/R8/R9 всё предсказуемо. A ВТР содержит адрес самой 
первой инструкции функции printf(). 


(gdb) info registers 


rax 0x0 0 

грх 0x0 0 

rcx 0x3 3 

rdx 0x2 2 

rsi 0x1 1 

rdi 0x400628 4195880 

rbp Ox7fffffffdf60 Ox7fffffffdf60 
rsp Ox7fffffffdf38 Ox7fffffffdf38 
r8 0x4 4 

r9 0x5 5 

r10 Ox7fffffffdce0 140737488346336 
r11 0Ox7ffff7a65f60 140737348263776 
r12 0x400440 4195392 

r13 Ox7fffffffe040 140737488347200 
r14 0x0 0 

г15 0х0 0 


г1р 0x7ffff7a65f60  0x7ffff7a65f60 < ргіпі?> 


Листинг 1.52: смотрим на строку формата 


(gdb) x/s $rdi 
0x400628: "a=%d; b=%d; c=%d; d=%d; e=%d; f=%d; g=%d; h=%d\n" 


Дампим стек на этот раз с командой x/g — g означает giant words, T.e. 64- 
битные слова. 


(gdb) х/109 $г5р 
0x7fffffffdf38: 0х0000000000400576 0х0000000000000006 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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0Ох7ТТТТТТТа148: 0х0000000000000007 0x00007ff f00000008 
0x7fffffffdf58: 0x0000000000000000 0x0000000000000000 
0x7fffffffdf68: 0x00007ffff7a33de5 0x0000000000000000 
Ox7fffffffdf78: 0x00007fffffffe048 0x0000000100000000 


Самый первый элемент стека, как и в прошлый раз, это ВА. Через стек также 
передаются 3 значения: 6, 7, 8. Видно, что 8 передается с неочищенной стар- 
шей 32-битной частью: 0х000071+1100000008. Это нормально, ведь передаются 
числа типа int, а они 32-битные. Так что в старшей части регистра или памяти 
стека остался «случайный мусор». 


GDB показывает всю функцию main(), если попытаться посмотреть, куда Bep- 
нется управление после исполнения ргіпі? (). 


(gdb) set disassembly-flavor intel 
(gdb) disas 0x0000000000400576 
Dump of assembler code for function main: 


0x000000000040052d <+0>: push rbp 

0x000000000040052e <+1>: mov грр, rsp 
0x0000000000400531 <+4>: sub rsp, 0x20 
0x0000000000400535 <+8>: mov DWORD PTR [rsp+0x10] , 0x8 


0x000000000040053d <+16>: mov DWORD PTR [rsp+0x8] ,0x7 
0x0000000000400545 <+24>: mov DWORD PTR [rsp], 0х6 
0x000000000040054c <+31>: mov r9d, 0x5 
0x0000000000400552 <+37>: mov r8d, 0x4 
0x0000000000400558 <+43>: mov ecx, 0x3 
0x000000000040055d <+48>: mov edx, 0х2 
0x0000000000400562 <+53>: mov esi,0x1 
0x0000000000400567 <+58>: mov edi, 0х400628 
0x000000000040056c <+63>: mov eax, 0x0 


0x0000000000400571 <+68>: call 0x400410 <printf@plt> 
0x0000000000400576 <+73>: mov eax, 0x0 
0x000000000040057b <+78>: leave 

0x000000000040057c <+79>: ret 


End of assembler dump. 


Заканчиваем исполнение printf(), исполняем инструкцию обнуляющую EAX, 
удостоверяемся что в регистре ЕАХ именно ноль. ВТР указывает сейчас на ин- 
струкцию LEAVE, т.е. предпоследнюю в функции main(). 


(gdb) finish 
Run till exit from #0 __рг1пїТ (format=0x400628 "a=%d; b=%d; c=%d; d=%d; ех 
S =%d; f=%d; g=%d; h=%d\n") at printf.c:29 


a=1; b=2; c=3; d=4; e=5; f=6; g=7; h=8 
main () at 2.c:6 

6 return 0; 

Value returned is $1 = 39 

(gdb) next 

7 }; 

(gdb) info registers 

rax 0x0 0 

грх 0x0 0 

rcx 0x26 38 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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гах 0x7ffff7dd59f0 140737351866864 
rsi Ox7fffffd9 2147483609 

rdi 0x0 0 

грр Ox7fffffffdf60  Ox7fffffffdf60 
rsp Ox7fffffffdf40  Ox7fffffffdf40 
r8 0x7ffff7dd26a0 140737351853728 
r9 0x7ffff7a60134 140737348239668 
r10 Ox7fffffffd5b0 140737488344496 
r11 0x7ffff7a95900 140737348458752 
r12 0x400440 4195392 

r13 Ox7fffffffe040 140737488347200 
r14 0x0 0 

г15 0x0 0 


г1р 0х400576 0х400576 <та1п+78> 


1.11.2. АВМ 
ARM: З целочисленных аргумента 


В АКМ традиционно принята такая схема передачи аргументов в функцию: 4 
первых аргумента через регистры RO-R3; а остальные — через стек. Это немно- 
го похоже на то, как аргументы передаются в ТазЁса! (6.1.3 (стр. 942)) или 
win64 (6.1.5 (стр. 944)). 


32-битный АВМ 


Неоптимизирующий Кей 6/2013 (Режим АВМ) 


Листинг 1.53: Неоптимизирующий Кей 6/2013 (Режим ARM) 


.text:00000000 main 


.text:00000000 10 40 2D E9 STMFD SP!, {R4,LR} 

.text:00000004 03 30 Аб ЕЗ MOV R3, #3 

.text:00000008 02 20 Аб ЕЗ MOV R2, #2 

.text:0000000C 01 10 Аб ЕЗ MOV R1, #1 

.text:00000010 08 00 8F E2 ADR RO, aADBDCD "a=%d; b=%d; c=%d" 
.text:00000014 06 00 00 EB BL _ 2printf 

.text:00000018 00 00 АО ЕЗ MOV RO, #0 ; return 0 
.text:0000001C 10 80 BD E8 LDMFD SP!, {R4,PC} 


Итак, первые 4 аргумента передаются через регистры RO-R3, по порядку: ука- 
затель на формат-строку для ргіпі?() в RO, затем 1 B R1, 2 в R2 и З в ВЗ. 


Инструкция на 0x18 записывает 0 в RO — это выражение в Си return О. Пока что 
здесь нет ничего необычного. Оптимизирующий Кеі 6/2013 генерирует точно 
такой же код. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Оптимизирующий Кей! 6/2013 (Режим Thumb) 


Листинг 1.54: Оптимизирующий Keil 6/2013 (Режим Thumb) 


.text:00000000 main 


.text:00000000 10 B5 PUSH  {R4,LR} 
. text: 00000002 03 23 MOVS R3, #3 

.text:00000004 02 22 MOVS R2, #2 

.text:00000006 01 21 MOVS R1, #1 

. text: 00000008 02 АӨ ADR RO, aADBDCD ; "a=%d; b=%d; c=%d" 
.text:0000000A 00 FO Ор F8 BL = 2printf 

.text:0000000E 00 20 MOVS АӨ, #0 

.text:00000010 10 BD POP {R4, PC} 


Здесь нет особых отличий от неоптимизированного варианта для режима ARM. 
Оптимизирующий Кей 6/2013 (Режим ARM) + убираем return 


Немного переделаем пример, убрав return 0: 


#include <stdio.h> 


void main() 


{ 
}; 


ргтпЕТ("а=%а; 6=%4; с=%4", 1, 2, 3); 


Результат получится необычным: 


Листинг 1.55: Оптимизирующий Кей 6/2013 (Режим АВМ) 


.text:00000014 main 


.text:00000014 03 30 Аб ЕЗ МОУ R3, #3 

.text:00000018 02 20 Аб ЕЗ МОУ R2, #2 

.text:0000001C 01 10 АО ЕЗ МОУ R1, #1 

.text:00000020 1E ОЕ ЗЕ Е? ADR RO, aADBDCD ; "a=%d; b=%d; c=%d\n" 
.text:00000024 CB 18 00 EA B _ 2printf 


Это оптимизированная версия (-03) для режима ARM, и здесь мы видим послед- 
нюю инструкцию В вместо привычной нам ВЕ. Отличия между этой оптимизи- 
рованной версией и предыдущей, скомпилированной без оптимизации, ещё и 
в том, что здесь нет пролога и эпилога функции (инструкций, сохраняющих 
состояние регистров RO и LR). Инструкция В просто переходит на другой ag- 
рес, без манипуляций с регистром LR, то есть это аналог JMP в х86. Почему это 
работает нормально? Потому что этот код эквивалентен предыдущему. 


Основных причин две: 1) стек не модифицируется, как и указатель стека SP; 2) 
вызов функции printf() последний, после него ничего не происходит. Функ- 
ция ргіпї#(), отработав, просто возвращает управление по адресу, записан- 
ному в LR. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Но в LR находится адрес места, откуда была вызвана наша функция! А следо- 
вательно, управление из printf() вернется сразу туда. 


Значит нет нужды сохранять LR, потому что нет нужды модифицировать LR. А 
нет нужды модифицировать LR, потому что нет иных вызовов функций, кроме 
printf (),к тому же, после этого вызова не нужно ничего здесь больше делать! 
Поэтому такая оптимизация возможна. 


Эта оптимизация часто используется в функциях, где последнее выражение — 
это вызов другой функции. 
Ещё один похожий пример описан здесь: 1.21.1 (стр. 204). 


АКМ64 


Неоптимизирующий ССС (Linaro) 4.9 


Листинг 1.56: Неоптимизирующий ССС (Linaro) 4.9 


„ЕСТ: 
.5фг1п9 "а=%9; b=%d; с=%а" 
12: 
; сохранить ЕР и LR в стековом фрейме: 
51р x29, x30, [5р, -16]! 
; установить стековый фрейм (ЕР=5Р): 
ааа х29, 5р, 0 
агр х0, .1С1 
ааа x0, x0, :1012:.1С1 
mov wl, 1 
mov w2, 2 
mov м3, 3 
bl printf 
mov w0, 0 
; восстановить FP n LR 
1ар x29, x30, [sp], 16 
ret 


Итак, первая инструкция STP (Store Pair) сохраняет FP (X29) n LR (X30) в стеке. 
Вторая инструкция ADD X29, SP, 0 формирует стековый фрейм. Это просто 
запись значения SP в X29. 


Далее уже знакомая пара инструкций АРАР/Арр формирует указатель на стро- 
ку. 


1012 означает младшие 12 бит, T.e., линкер запишет младшие 12 бит адреса 
метки LC1 в опкод инструкции ADD. 1, 2 и 3 это 32-битные значения типа int, 
так что они загружаются в 32-битные части регистров 57 


Оптимизирующий ССС (Linaro) 4.9 генерирует почти такой же код. 


67Изменение 1 на 11 изменит эту константу на 64-битную и она будет загружаться в 64-битный 
регистр. См. о целочисленных константах/литералах: 1, 2. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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АКМ: 8 целочисленных аргументов 


Снова воспользуемся примером с 9-ю аргументами из предыдущей секции: 
1.11.1 (стр. 68). 


#include <stdio.h> 


int main() 
{ 
printf("a=%d; b=%d; c=%d; d=%d; e=%d; f=%d; g=%d; h=%d\n", 1, 2, 3,2 
G 4, 5, 6, 7, 8); 
return 0; 


}; 


Оптимизирующий Кей 6/2013: Режим АКМ 


. text : 00000028 main 

. text : 00000028 

. text : 00000028 var_18 = -0x18 
. text : 00000028 var_14 = -0x14 
. text : 00000028 маг 4 = -4 


. text: 00000028 

.text:00000028 04 EO 2D E5 STR LR, [SP,#var_4]! 

.text:0000002C 14 00 4D Е? SUB SP, SP, #0x14 

.text:00000030 08 30 Аб ЕЗ MOV R3, #8 

.text:00000034 07 20 AO ЕЗ MOV R2, #7 

.text:00000038 06 10 Аб ЕЗ MOV R1, #6 

.text:0000003C 05 00 Аб ЕЗ MOV RO, #5 

.text:00000040 04 СО 8D Е? ADD R12, SP, #0x18+var_14 

.text:00000044 OF 00 8C ЕЗ STMIA R12, {R0-R3} 

.text:00000048 04 00 Аб ЕЗ MOV RO, #4 

.text:0000004C 00 00 8D E5 STR RO, [SP,#0x18+var_18] 

.text:00000050 03 30 Аб ЕЗ MOV R3, #3 

.text:00000054 02 20 АО ЕЗ MOV R2, #2 

.text:00000058 01 10 Аб ЕЗ MOV R1, #1 

.text:0000005C 6E OF 8F E2 ADR RO, aADBDCDDDEDFDGD ; "а=%а; b=%d; c=%d; 
d=%d; e=%d; f=%d; g=%"... 

.text:00000060 BC 18 o0 EB BL _ 2printf 

.text:00000064 14 DO 8D E2 ADD SP, SP, #0x14 

.text:00000068 04 FO 9D E4 LDR РС, [SP+4+var 4],#4 


Этот код можно условно разделить на несколько частей: 
e Пролог функции: 


Самая первая инструкция STR LR, [5Р,#\аг 4]! сохраняет в стеке LR, ведь 
нам придется использовать этот регистр для вызова ргіпі?(). Воскли- 

цательный знак в конце означает рге-таех. Это значит, что в начале SP 

должно быть уменьшено на 4, затем по адресу в 5Р должно быть записано 

значение LR. 


Это аналог знакомой в х86 инструкции РОЅН. Читайте больше об этом: 
1.39.2 (стр. 565). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Вторая инструкция SUB SP, SP, #0х14 уменьшает указатель стека SP, но, 
на самом деле, эта процедура нужна для выделения в локальном стеке 
места размером 0х14 (20) байт. Действительно, нам нужно передать 5 
32-битных значений через стек в ргіпї#(). Каждое значение занимает 
4 байта, все вместе — 5 * 4 = 20. Остальные 4 32-битных значения будут 
переданы через регистры. 


e Передача 5, 6, 7 и 8 через стек: они записываются в регистры RO, R1, R2 и 
АЗ соответственно. 
Затем инструкция ADD R12, SP, #0х18+\аг 14 записывает в регистр R12 
адрес места в стеке, куда будут помещены эти 4 значения. уаг_14 — это 
макрос ассемблера, равный -0х14. Такие макросы создает IDA, чтобы удоб- 
нее было показывать, как код обращается к стеку. 


Макросы маг ?, создаваемые IDA, отражают локальные переменные в CTE- 
ке. Так что в К12 будет записано 5Р+4. 


Следующая инструкция STMIA R12, RO-R3 записывает содержимое pern- 
стров В0-ВЗ по адресу в памяти, на который указывает R12. 


Инструкция 5ТМТА означает Store Multiple Increment After. 
Increment After означает, что R12 будет увеличиваться Ha 4 после записи 
каждого значения регистра. 


e Передача 4 через стек: 4 записывается в RO, затем инструкция STR RO, 
[5Р,#0х18+үаг 18] записывает его в стек. уаг_18 равен -0х18, смещение 
будет 0, так что значение из регистра RO (4) запишется туда, куда указы- 
вает $Р. 


e Передача 1, 2 иЗ через регистры: 


Значения для первых трех чисел (а, b, с) (1, 2, 3 соответственно) переда- 
ются в регистрах R1, R2 и ВЗ перед самим вызовом ргіпЁ+ (). 


• Вызов printf(). 
• Эпилог функции: 


Инструкция ADD SP, SP, #0х14 возвращает SP на прежнее место, аннули- 
руя таким образом всё, что было записано в стек. Конечно, то что было 
записано в стек, там пока и останется, но всё это будет многократно пе- 
резаписано во время исполнения последующих функций. 


Инструкция LDR РС, [$5Р+4+\уаг 4], #4 загружает в РС сохраненное значе- 
ние LR из стека, обеспечивая таким образом выход из функции. 


Здесь нет восклицательного знака — действительно, сначала РС загру- 
жается из места, куда указывает SP (4 + оа" 4 = 4+ (-4) = 0, так что эта 
инструкция аналогична LDR РС, [5Р], #4), затем SP увеличивается на 4. 
Это называется роѕѓ-іпаех%. Почему IDA показывает инструкцию именно 
так? Потому что она хочет показать разметку стека и тот факт, что var 4 
выделена в локальном стеке именно для сохраненного значения LR. Эта 
инструкция в каком-то смысле аналогична РОР РС в х86 $3. 


68 Читайте больше об этом: 1.39.2 (стр. 565). 
69В х86 невозможно установить значение ТР/ЕТР/ВТР используя РОР, но будем надеяться, вы 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Оптимизирующий Кей 6/2013: Режим ТһитЬ 


.text:0000001C 
.text:0000001C 
.text:0000001C 
.text:0000001C 
.text:0000001C 
.text:0000001C 
.text:0000001C 
.text:0000001E 
. text: 00000020 
. text :00000022 
. text :00000024 
. text :00000026 
. text: 00000028 
. text :0000002A 
.text:0000002C 
. text :0000002E 
. text: 00000030 
. text: 00000032 
. text: 00000034 
. text: 00000036 
. text: 00000038 


00 B5 
08 23 
85 BO 
04 93 
07 22 
06 21 
05 20 
01 AB 
07 C3 


00 90 
03 23 
02 22 
01 21 
AO AO 


d=%d; e=%d; 


. text : 0000003А 
. text : 0000003Е 
. text : 0000003Е 
. text : 0000003Е 
. text : 00000040 


f=%d; 


= 
б 


п 


06 FO 09 F8 


05 ВО 
00 Вр 


ргіпі? таіп2 


маг 18 = -0x18 
маг 14 = -0x14 
маг 8 = -8 

PUSH {LR} 

MOVS R3, #8 

SUB SP, SP, #0x14 

STR R3, [SP,#0x18+var 8] 


MOVS R2, #7 

MOVS R1, #6 

MOVS RO, #5 

ADD R3, SP, #0x18+var_14 
STMIA R3!, {К0-В2} 

MOVS RO, #4 

STR RO, [SP,#0x18+var_18] 
MOVS R3, #3 

MOVS R2, #2 

MOVS R1, #1 

ADR RO, aADBDCDDDEDFDGD ; "a=%d; b=%d; c=%d; 


“BL _ 2printf 
loc_3E ; CODE XREF: example13_f+16 
ADD SP, SP, #0x14 

POP {PC} 


Это почти то же самое что и в предыдущем примере, только код для Thumb и 
значения помещаются в стек немного иначе: сначала 8 за первый раз, затем 5, 
6, 7 за второй раз и 4 за третий раз. 


Оптимизирующий Xcode 4.6.3 (ШУМ): Режим АКМ 


__үехї 
text 


__ text 
text 


text 


text 


text 


_ text 
text 


text 


text 


text 


— text 


:0000290C 
:0000290C 
:0000290C 
:0000290C 
:0000290C 
:0000290C 
:00002910 
:00002914 
:00002918 
:0000291C 
: 00002920 
: 00002924 
: 00002928 


_printf_main2 


уаг_1С 
var C 


STMFD 
MOV 
SUB 
MOV 
MOV 
MOVT 
MOV 
ADD 


поняли аналогию. 


—0х1С 
-0хС 


ЅР!, {R7,LR} 
В7, 5Р 

5Р, 5Р, #0х14 
RO, #0х1570 
R12, #7 

RO, #0 

R2, #4 

RO, РС, RO 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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_ text:0000292C 06 30 Аб ЕЗ MOV ВЗ, #6 

_ %ех*:00002930 05 10 Аб ЕЗ МОУ R1, #5 
__1ехї:00002934 00 20 80 E5 STR R2, [SP,#0x1C+var_1C] 
_ text:00002938 ОА 10 8D E9  STMFA SP, {R1,R3,R12} 

_ text:0000293C 08 90 Аб ЕЗ MOV R9, #8 

_ text:00002940 01 10 Аб ЕЗ МОУ R1, #1 

_ text:00002944 02 20 Аб ЕЗ MOV R2, #2 

_ text:00002948 03 30 Аб ЕЗ MOV R3, #3 

_ text:0000294C 10 90 8D E5 STR R9, [SP,#0x1C+var C] 
_ text:00002950 A4 05 00 EB BL _printf 

_ text:00002954 07 00 Аб ЕШ MOV SP, R7 

_ text:00002958 80 80 BD ЕВ  LDMFD $Р!, {R7,PC} 


Почти то же самое, что мы уже видели, за исключением того, что STMFA (Store 
Multiple Full Ascending) — это синоним инструкции STMIB (Store Multiple Increment 
Before). Эта инструкция увеличивает SP и только затем записывает в память 
значение очередного регистра, но не наоборот. 


Далее бросается в глаза то, что инструкции как будто бы расположены слу- 
чайно. Например, значение в регистре RO подготавливается в трех местах, по 
адресам 0х2918, 0х2920 и 0х2928, когда это можно было бы сделать в одном 
месте. Однако, у оптимизирующего компилятора могут быть свои доводы о 
том, как лучше составлять инструкции друг с другом для лучшей эффектив- 
ности исполнения. Процессор обычно пытается исполнять одновременно иду- 
щие друг за другом инструкции. К примеру, инструкции МОУТ RO, #0 и Арр ВО, 
РС, RO не могут быть исполнены одновременно, потому что обе инструкции 
модифицируют регистр RO. А вот инструкции MOVT RO, #0 и МОУ R2, #4 легко 
можно исполнить одновременно, потому что эффекты от их исполнения никак 
не конфликтуют друг с другом. Вероятно, компилятор старается генерировать 
код именно таким образом там, где это возможно. 


Оптимизирующий Xcode 4.6.3 (ШУМ): Режим Thumb-2 


_ text:00002BA0 _printf_main2 

_ text :00002BA0 

_ text :00002BA0 маг 1С = -0х1С 

_ Техїі:00002ВА0 маг 18 = -0х18 

_ Техїі:00002ВА0 маг С = -0хС 
__Техї:00002ВА0 

_ text:00002BA0 80 B5 PUSH {R7 , LR} 

_ text:00002BA2 6F 46 MOV R7, SP 

_ text:00002BA4 85 ВО SUB SP, SP, #0x14 
_ text:00002BA6 41 F2 D8 20 MOVW RO, #0x12D8 


_ text:00002BAA 4F FO 07 ӨС MOV. W R12, #7 
_ text:00002BAE СО F2 00 00 MOVT.w RO, #0 


_ text:00002BB2 04 22 MOVS R2, #4 

_ text:00002BB4 78 44 ADD RO, PC ; char * 

_ text:00002BB6 06 23 MOVS R3, #6 

_ text:00002BB8 05 21 MOVS R1, #5 

_ text:00002BBA 00 F1 04 ОЕ ADD.W LR, SP, #0x1C+var_18 
_ text:00002BBE 00 92 STR R2, [SP,#0x1C+var_1C] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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_ text:00002BC0 4F FO 08 09 МОМ. \ R9, #8 
_ text:00002BC4 ЗЕ E8 OA 10 STMIA.Ww LR, {R1,R3,R12} 


_ text:00002BC8 01 21 MOVS R1, #1 

_ text:00002BCA 02 22 MOVS R2, #2 

_ text:00002BCC ӨЗ 23 MOVS R3, #3 

_ text:00002BCE CD F8 10 90 STR.W R9, [SP,#0x1C+var C] 
_ text:00002BD2 01 FO ОА EA BLX _printf 

_ text:00002BD6 05 BO ADD SP, SP, #0x14 

_ text:00002BD8 80 BD POP {R7 , PC} 


Почти то же самое, что и в предыдущем примере, лишь за тем исключением, 
что здесь используются ТпитЬ/Тпит6-2-инструкции. 


АКМ64 


Неоптимизирующий ССС (Linaro) 4.9 


Листинг 1.57: Неоптимизирующий ССС (Linaro) 4.9 


.LC2: 
.String "a=%d; b=%d; c=%d; d=%d; e=%d; f=%d; g=%d; h=%d\n" 
f3: 
; выделить больше места B стеке: 
sub Sp, sp, #32 
; сохранить FP n LR в стековом фрейме: 
51р x29, x30, [5р,16] 
; установить указатель фрейма (ЕР=5Р+16): 
ааа x29, sp, 16 
adrp х0, .LC2 ; "a=%d; b=%d; c=%d; d=%d; e=%d; f=%d; g=%d; h=%d\n" 
add х0, x0, :1012:.1С2 
mov №1, 8 ; 9-й аргумент 
str м1, [5р] ; сохранить 9-й аргумент в стеке 
mov wl, 1 
mov w2, 2 
mov w3, 3 
mov w4, 4 
mov w5, 5 
mov мб, 6 
mov w7, 7 
bl printf 
sub sp, x29, #16 
; восстановить FP n LR 
1ар x29, x30, [5р,16] 
add sp, Sp, 32 
ret 


Первые 8 аргументов передаются B X- или W-perncTpax: [Procedure Call Standard 
for the ARM 64-bit Architecture (AArch64), (2013)]7?. Указатель на строку требует 


70Также доступно здесь: http://infocenter.arm.com/help/topic/com.arm.doc.ihi0055b/ 
ТНТ9055В аарс$64. рат 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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64-битного регистра, так что он передается в ХӨ. Все остальные значения име- 
ют 32-битный тип int, так что они записываются в 32-битные части регистров 
(\/-). Девятый аргумент (8) передается через стек. Действительно, невозмож- 
но передать большое количество аргументов в регистрах, потому что количе- 
ство регистров ограничено. 


Оптимизирующий ССС (Linaro) 4.9 генерирует почти такой же код. 


1.11.3. MIPS 
3 целочисленных аргумента 


Оптимизирующий ССС 4.4.5 


Главное отличие от примера «Hello, world!» в том, что здесь на самом деле 
вызывается printf() вместо puts() и ещё три аргумента передаются в pern- 
страх $5...$7 (или $А0...$А2). Вот почему эти регистры имеют префикс А-. Это 
значит, что они используются для передачи аргументов. 


Листинг 1.58: Оптимизирующий ССС 4.4.5 (вывод на ассемблере) 


$С0: 
‚а5с11 "а=%а; b=%d; с=%0\000" 
main: 
; пролог функции: 
lui $28,%1(__опи 1оса1_ор) 
addiu $sp,$sp,-32 
addiu $28,%28,%10( дпи 1оса1 9р) 
SW $31,28($sp) 
; загрузить адрес printf(): 
1м $25 ,%са1116(ргіпї?) ($28) 
; загрузить адрес текстовой строки и установить первый аргумент ргіпі? () : 
lui $4,%hi($LC0) 


addiu $4, $4,%10($1С0) 
установить второй аргумент ргіпі? () : 


11 $5,1 # 0х1 
; установить третий аргумент ргіп+#() : 
11 $6,2 # 0х2 
; вызов printf(): 
jalr $25 
; установить четвертый аргумент printf() (branch delay slot): 
li $7,3 # 0x3 


; эпилог функции: 
1м $31,28($5р) 
; установить возвращаемое значение в 0: 
move $2,$0 
; возврат 
ј $31 
addiu $sp,$sp,32 ; branch delay slot 


Листинг 1.59: Оптимизирующий ССС 4.4.5 (IDA) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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„Тех: 00000000 main: 
.Бехі: 00000000 


.text:00000000 var 10 = -0x10 

.text:00000000 var 4 = -4 

. text: 00000000 

; пролог функции: 

. text: 00000000 lui $gp, (пи 1оса1 ор >> 16) 

. text: 00000004 addiu $sp, -0x20 

. text : 00000008 la $gp, (gnu 1оса1 др & ӨХЕЕЕЕ) 
. text: 0000000C Sw $ra, 0x20+var_4($sp) 
.text:00000010 sw $gp, 0x20+var_10($sp) 

; загрузить адрес printf(): 

.Техт: 00000014 lw $t9, (printf & OxFFFF)($gp) 

; загрузить адрес текстовой строки и установить первый аргумент printf(): 
.text:00000018 la фаб, $LCO # "a=%d; b=%d; c=%d" 
; установить второй аргумент printf(): 

. text : 00000020 li $al, 1 

; установить третий аргумент printf(): 

. text : 00000024 li $a2, 2 

; вызов printf(): 

. text : 00000028 jalr $t9 

; установить четвертый аргумент printf() (branch delay slot): 

. text :0000002C li $a3, 3 

; эпилог функции: 

. text : 00000030 1м $га, 0х20+маг 4(%5р) 

; установить возвращаемое значение в 0: 

. text: 00000034 move $у0, $zero 

; возврат 

.Техт:00000038 jr $ra 

. text : 0000003C addiu $5р, 0x20 ; branch delay slot 


IDA объединила пару инструкций LUI n ADDIU в одну псевдоинструкцию LA. Вот 
почему здесь нет инструкции по адресу 0х1С: потому что ГА занимает 8 байт. 


Неоптимизирующий ССС 4.4.5 


Неоптимизирующий ССС более многословен: 


Листинг 1.60: Неоптимизирующий ССС 4.4.5 (вывод на ассемблере) 


$С0: 

„ascii "а=%а; р=%а; c=%d\000" 
паіп: 
; пролог функции: 

addiu %5р,%5р,-32 


SW $31,28($sp) 

SW $fp,24($sp) 

move $fp,$sp 

lui $28,%hi(__gnu_local_gp) 


addiu $28,$28,%lo(_ дпи 1оса1 9р) 
; загрузить адрес текстовой строки: 
lui $2,%hi($LC0) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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# 0х1 


# 0х2 


# 0x3 


addiu $2,$2,%lo($LC0) 

; установить первый аргумент printf(): 
move $4, $2 

; установить второй аргумент printf(): 
11 $5,1 

; установить третий аргумент printf(): 
11 $6,2 

; установить четвертый аргумент printf(): 
11 $7,3 

; получить адрес printf(): 
м $2 ,%са1116 (рг1п{Т) ($28) 
пор 

; вызов printf(): 
move $25,$2 
jalr $25 
nop 


; эпилог функции: 


lw $28,16($fp) 
; установить возвращаемое значение B Q: 

move $2,$0 

move $sp,$fp 

1м $31,28($5р) 

1м $fp,24($sp) 

addiu $5р,$5р,32 
; возврат 

ј $31 

пор 

Листинг 1.61: Неоптимизирующий ССС 4.4.5 (IDA) 

.Техі: 00000000 main: 
. text: 00000000 
.text:00000000 var 10 = -0х109 
.text:00000000 var 8 = -8 
.text:00000000 var 4 = —4 
. text: 00000000 
; пролог функции: 
.Техт:00000000 ааа1и $sp, -0x20 
. text: 00000004 SW $ra, 0x20+var_4($sp) 
. text : 00000008 Sw $fp, 0x20+var_8($sp) 
. text :0000000C move $fp, $sp 
.text:00000010 la $gp, __опи 1оса1 ор 
. text :00000018 Sw фор, 0x20+var_10($sp) 
; загрузить адрес текстовой строки: 
.text:0000001C la $\0, aADBDCD # "a=%d; b=%d; c=%d" 
; установить первый аргумент printf(): 
. text: 00000024 move $a0, $\0 
; установить второй аргумент printf(): 
. text : 00000028 li $al, 1 
; установить третий аргумент printf(): 
. text :0000002C li $a2, 2 


; установить четвертый аргумент printf(): 


. text : 00000030 li 


$a3, 


3 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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; получить адрес ргіпі? () : 


. text : 00000034 lw $v0, (printf & OxFFFF) ($9р) 
. text : 00000038 or $at, $zero 

; вызов printf(): 

.Техт:0000003С поме $19, $\0 

. text : 00000040 jalr $t9 

. text :00000044 or $at, $zero ; NOP 

; эпилог функции: 

.Техе: 00000048 lw $gp, 0x20+var_10($fp) 
; установить возвращаемое значение B 0: 

.Техт:0000004С поме $v0, $zero 

. text: 00000050 move $sp, $fp 

. text : 00000054 lw $ra, 0x20+var_4($sp) 
. text: 00000058 lw $fp, 0x20+var_8($sp) 
.text:0000005C addiu $sp, 0x20 

; возврат 

.Техт:00000060 jr $ra 

. text :00000064 or $at, $zero ; NOP 


8 целочисленных аргументов 


Снова воспользуемся примером с 9-ю аргументами из предыдущей секции: 
1.11.1 (стр. 68). 


#include <stdio.h> 


int main() 
{ 
printf("a=%d; b=%d; c=%d; d=%d; e=%d; f=%d; g=%d; h=%d\n", 1, 2, 3,2 
ъ 4,5, 6, 7, 8); 
return 0; 


}; 


Оптимизирующий ССС 4.4.5 


Только 4 первых аргумента передаются в регистрах $А0 ...$АЗ, так что осталь- 
ные передаются через стек. 


Это соглашение о вызовах 032 (самое популярное в мире MIPS). Другие corna- 
шения о вызовах, или вручную написанный код на ассемблере, могут наделять 
регистры другими функциями. 


SW означает «Store Мога» (записать слово из регистра в память). В MIPS нет nH- 
струкции для записи значения в память, так что для этого используется пара 
инструкций (LI/SW). 


Листинг 1.62: Оптимизирующий ССС 4.4.5 (вывод на ассемблере) 


$LCO: 
„ascii "a=%d; b=%d; c=%d; d=%d; e=%d; f=%d; g=%d; h=%d\012\000" 
main: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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пролог функции: 
lui $28,%1(__опи 1оса1_ор) 
addiu $5р,$5р,—56 
addiu $28,%28,%10( дпи 1оса1 ор) 


Sw $31,52($sp) 

; передать 5-й аргумент в стеке: 
11 $2,4 # 0х4 
SW $2,16($sp) 

; передать 6-й аргумент B стеке: 
11 $2,5 # 0х5 
Sw $2,20($sp) 

; передать 7-й аргумент в стеке: 
11 $2,6 # 0x6 
SW $2,24($sp) 

; передать 8-й аргумент в стеке: 
11 $2,7 # 0х7 
1м $25 ,%са1116(ргіпї?) ($28) 
SW $2,28($sp) 

; передать 1-й аргумент B $а0: 
lui $4,%hi($LCO) 

; передать 9-й аргумент в стеке: 
11 $2,8 # 0х8 
SW $2,32($sp) 


addiu $4,$4,%о($С0) 
; передать 2-й аргумент в $а1: 


11 $5,1 # 0х1 
; передать 3-й аргумент в $а2: 

11 $6,2 # 0х2 
; вызов printf(): 

jalr $25 
; передать 4-й аргумент B $a3 (branch delay slot): 

li $7,3 # 0x3 
; эпилог функции: 

1м Ф31,52($5р) 
; установить возвращаемое значение в 0: 

move $2,$0 
; возврат 

ј $31 


addiu %5р,%5р,56 ; branch delay slot 


Листинг 1.63: Оптимизирующий ССС 4.4.5 (IDA) 


.text:00000000 main: 
.text:00000000 


.text:00000000 var 28 = —0x28 
.text:00000000 var 24 = -0х24 
.text:00000000 var 20 = —0x20 
.text:00000000 хаг 1С = -0х1С 
.text:00000000 var 18 = —0x18 
.text:00000000 var 10 = -0х109 
.text:00000000 var 4 = —4 


. text :00000000 
; пролог функции: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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.Техт:00000000 
.Техт: 00000004 
. text: 00000008 
.text:0000000C 
.text:00000010 
; передать 5-й 
.Техт: 00000014 
.text:00000018 
; передать 6-й 
.text:0000001C 
. text :00000020 
; передать 7-й 
.Техт: 00000024 
. text: 00000028 
; передать 8-й 
.text:0000002C 
. text :00000030 
. text: 00000034 
; готовить 1-й 
.Техт:00000038 


lui 
addiu 
la 
Sw 
Sw 
стеке: 
11 
Sw 
стеке: 
11 
Sw 
стеке: 
11 
Sw 
стеке: 
11 
1м 
Sw 
аргумент в $а0: 
lui 


аргумент в 


аргумент в 


аргумент в 


аргумент в 


с=%1; d=%d; 
; передать 9-й 
. text :0000003C 
. text: 00000040 
; передать 1-й 
. text: 00000044 

c=%d; d=%d; 


e=%d; f=%d; g=%"... 
аргумент в стеке: 
11 
SW 
аргумент B $a0: 
la 
e=%d; f=%d; g=%"... 


; передать 2-й 
. text : 00000048 
; передать 3-й 
. text :0000004C 


аргумент B $al: 

li 
аргумент в $a2: 

11 


; вызов printf(): 


.Техт: 00000050 


; передать 4-й аргумент в $a3 (branch delay 


. text : 00000054 


jalr 


li 


; эпилог функции: 


.Техт: 00000058 


; установить возвращаемое значение в 0: 


„.Техт:0000005С 
; возврат 

.text:00000060 
. text :00000064 


1м 
поме 


jr 
addiu 


$ор, 
$5р, 
$ор, 
$га, 
$ор, 


$у0, 
$у@, 


$у@, 
$\0, 


$\0, 
$\0, 


$\0, 
$19, 
$у@, 


$а0, 


$у@, 
$\0, 


$а0, 


$al, 
$a2, 
$t9 

$a3, 
$ra, 
$\0, 


$га 
$5р, 


(опи 1оса1 ор >> 16) 
-0x38 

(_ gnu _ local gp & ОхЕРЕЕ) 
0x38+var_4($sp) 
0x38+var_10($sp) 


4 
0x38+var_28($sp) 


5 
0x38+var_24($sp) 


6 
0x38+var_20($sp) 


7 
(printf & ӨхЕЕЕЕ) ($9р) 
0x38+var_1C($sp) 


($LCO >> 16) # "a=%d; b=%d; 
8 
0x38+var_18($sp) 


($LCO & OxFFFF) # 


slot): 
3 


0x38+var_4($sp) 


$zero 


0x38 ; branch delay slot 


Неоптимизирующий ССС 4.4.5 


Неоптимизирующий ССС более многословен: 


Листинг 1.64: Неоптимизирующий ССС 4.4.5 (вывод на ассемблере) 


$200: 
.аѕсіі 
main: 


"a=%d; b=%d; c=%d; 


; пролог функции: 


d= 


; е= 


а; f=%d; 9=%4 ; ћ=%0\012\000" 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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# 0х4 


# 0х5 


# 0x6 


# 0х7 


# 0х8 


# 0х1 


# 0х2 


# 0x3 


addiu — $5р,$5р,-56 
Sw $31,52($sp) 
Sw $fp,48($sp) 
move $fp,$sp 
lui $28,%һі( дпи 1оса1 9р) 
addiu $28,%28,%10( дпи 1оса1 ор) 
lui $2,%hi($LCO) 
addiu $2, $2,%10($1С0) 
передать 5-й аргумент в стеке: 
li $3,4 
Sw $3,16($sp) 
передать 6-й аргумент в стеке: 
11 $3,5 
Sw $3,20($sp) 
передать 7-й аргумент в стеке: 
li $3,6 
SW $3,24($sp) 
передать 8-й аргумент в стеке: 
11 $3,7 
SW $3,28 ($5р) 
передать 9-й аргумент в стеке: 
li $3,8 
SW $3, 32 ($5р) 
передать 1-й аргумент в $а0: 
move $4, $2 
передать 2-й аргумент в $а1: 
li $5,1 
передать 3-й аргумент B $a2: 
11 $6,2 
передать 4-й аргумент в $a3: 
li $7,3 
вызов printf(): 
1м $2, %са1116(ргіп+#) ($28) 
пор 
move $25,$2 
jalr $25 
nop 
эпилог функции: 
lw $28,40($fp) 
установить возвращаемое значение в 0: 
поме $2,$0 
поме $sp,$fp 
1м $31,52($5р) 
lw $fp,48($sp) 
addiu $sp,$sp,56 
возврат 
j $31 
nop 


Листинг 1.65: Неоптимизирующий ССС 4.4.5 (IDA) 


.text:00000000 main: 
. text :00000000 
.text:00000000 var 28 = —0x28 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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.text: 
.text: 
.text: 
.text: 
.text: 


00000000 
00000000 
00000000 
00000000 
00000000 
. text :00000000 
. text: 00000000 
. text :00000000 
; пролог функции: 
.Техт: 00000000 
.Техт: 00000004 
. text: 00000008 
. text :0000000C 
.text:00000010 
.Хехї: 00000018 
.text:0000001C 


var_24 
var_20 
уаг_1С 
уаг_18 
уаг_10 
var 8 
маг 4 


Ф 
о. 
б: 
H- 
= 


л 
= 


Sw 
mo 
la 
Sw 
la 


-0x24 
-0x20 
-0х1С 
—0х18 
—0х10 
-8 

—4 


ve 


c=%d; d=%d; e=%d; f=%d; 0=%"... 


; передать 5-й аргумент B стеке: 


.Техт: 00000024 11 
.Хехї: 00000028 Sw 
; передать 6-й аргумент в стеке: 
‚техї:0000002С 11 
‚техт:00000030 Sw 
; передать 7-й аргумент в стеке: 

. text: 00000034 li 
. text : 00000038 Sw 
; передать 8-й аргумент B стеке: 

. text :0000003C li 
. text :00000040 Sw 
; передать 9-й аргумент B стеке: 

. text: 00000044 li 
. text: 00000048 Sw 
; передать 1-й аргумент в $a0: 

. text :0000004C mo 
; передать 2-й аргумент B $al: 
.text:00000050 li 
; передать 3-й аргумент B $a2: 
.Техт: 00000054 11 
; передать 4-й аргумент в $a3: 

. text :00000058 li 
; вызов printf(): 

.text:0000005C 1м 
.Хехї:00000060 ог 
.Техт: 00000064 mo 
. text: 00000068 ja 
. text :0000006C or 
; эпилог функции: 

.Техт: 00000070 1м 


; установить возвращаемое значение в 0: 


.Техт: 00000074 mo 
. text :00000078 mo 
.text:0000007C 1м 
.Техт: 00000080 1м 
.Техт: 00000084 ай 


ме 
1г 


ve 
ve 


diu 


$sp, 
$ra, 
$fp, 
$fp, 
$ор, 
$ор, 
$\0, 


$\1, 
$\1, 


$\1, 
$\1, 


$\1, 
$\1, 


$у1, 
$v1, 


$v1, 
$v1, 


$a0, 
$al, 
$a2, 
$a3, 


$\0, 
фах, 
$19, 
$19 

фах, 


$ор, 


$у0, 
$5р, 
$га, 
$fp, 
$sp, 


-0x38 

0x38+var_4($sp) 

0x38+var_8($sp) 

$sp 

_ gnu_local_gp 
0x38+var_10($sp) 
aADBDCDDDEDFDGD # "a=%d; р=%а; 


4 
0x38+var_28($sp) 


5 
0x38+var_24($sp) 


6 
0x38+var_20($sp) 
7 
0x38+var_1C($sp) 


8 
0x38+var_18($sp) 


$0 

1 

2 

3 

(printf & OxFFFF) ($9р) 
$zero 

$\0 

$zero ; МОР 
0х38+\аг 10 ($Ғ#р) 
$хего 

$fp 
0x38+var_4($sp) 


0х38+\аг_8($$р) 
0x38 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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; возврат 
. text :00000088 jr $ra 
.text:0000008C or $at, $zero ; NOP 


1.11.4. Вывод 


Вот примерный скелет вызова функции: 


Листинг 1.66: х86 


PUSH третий аргумент 

РОЅН второй аргумент 

PUSH первый аргумент 

CALL функция 

; модифицировать указатель стека (если нужно) 


Листинг 1.67: x64 (М$\С) 


MOV RCX, первый аргумент 
MOV RDX, второй аргумент 
MOV R8, третий аргумент 
MOV R9, 4-й аргумент 


PUSH 5-й, 6-й аргумент, и т.д. (если нужно) 
CALL функция 
; модифицировать указатель стека (если нужно) 


Листинг 1.68: х64 (ССС) 


MOV ВОТ, первый аргумент 
MOV RSI, второй аргумент 
MOV RDX, третий аргумент 
MOV RCX, 4-й аргумент 
MOV R8, 5-й аргумент 
MOV А9, 6-й аргумент 


PUSH 7-й, 8-й аргумент, и т.д. (если нужно) 
CALL функция 
; модифицировать указатель стека (если нужно) 


Листинг 1.69: ARM 


MOV RO, первый аргумент 

MOV R1, второй аргумент 

MOV R2, третий аргумент 

MOV R3, 4-й аргумент 

; передать 5-й, 6-й аргумент, и т.д., в стеке (если нужно) 
BL функция 

; модифицировать указатель стека (если нужно) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Листинг 1.70: ARM64 


MOV ХӨ, первый аргумент 
MOV X1, второй аргумент 
MOV X2, третий аргумент 


MOV ХЗ, 4-й аргумент 

MOV X4, 5-й аргумент 

MOV X5, 6-й аргумент 

MOV X6, 7-й аргумент 

MOV X7, 8-й аргумент 

; передать 9-й, 10-й аргумент, и т.д., в стеке (если нужно) 
BL функция 


; модифицировать указатель стека (если нужно) 


Листинг 1.71: МІРЅ (соглашение о вызовах 032) 


ЕТ \$4, первый аргумент ; АКА $А0 

ЕТ \$5, второй аргумент ; АКА $А1 

ЕТ \$6, третий аргумент ; АКА $А2 

ЕТ \$7, 4-й аргумент ; АКА $АЗ 

; передать 5-й, 6-й аргумент, и т.д., в стеке (если нужно) 
LW Фетр_гед, адрес функции 

ЗАГА Тетр гед 


1.11.5. Кстати 


Кстати, разница между способом передачи параметров принятая в х86, x64, 
fastcall, ARM и MIPS неплохо иллюстрирует тот важный момент, что процессо- 
ру, в общем, всё равно, как будут передаваться параметры функций. Можно 
создать компилятор, который будет передавать их при помощи указателя на 
структуру с параметрами, не пользуясь стеком вообще. 


Регистры $А0...$АЗ в MIPS так названы только для удобства (это соглашение 
о вызовах ОЗ2). Программисты могут использовать любые другие регистры 
(может быть, только кроме $2ЕКО) для передачи данных или любое другое 
соглашение о вызовах. 


СРО не знает о соглашениях о вызовах вообще. 


Можно также вспомнить, что начинающие программисты на ассемблере пере- 
дают параметры в другие функции обычно через регистры, без всякого явного 
порядка, или даже через глобальные переменные. И всё это нормально рабо- 
тает. 


1.12. ѕсап#() 


Теперь попробуем использовать 5сапТ(). 


1.12.1. Простой пример 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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#include <stdio.h> 

int main() 

{ 
int х; 
printf ("Enter X:\n"); 
scanf ("%d", &х); 


printf ("You entered %d...\n", x); 


return 0; 
}; 


Использовать scanf () в наши времена для того, чтобы спросить у пользова- 
теля что-то — не самая хорошая идея. Но так мы проиллюстрируем передачу 
указателя на переменную типа int. 


Об указателях 


Это одна из фундаментальных вещей в программировании. Часто большой мас- 
сив, структуру или объект передавать в другую функцию путем копирования 
данных невыгодно, а передать адрес массива, структуры или объекта куда 
проще. Например, если вы собираетесь вывести в консоль текстовую строку, 
достаточно только передать её адрес в ядро ОС. 


К тому же, если вызываемая функция (саее) должна изменить что-то в этом 
большом массиве или структуре, то возвращать её полностью так же абсурд- 
но. Так что самое простое, что можно сделать, это передать в функцию-са!ее 
адрес массива или структуры, и пусть са!ее что-то там изменит. 


Указатель в Си/Си++— это просто адрес какого-либо места в памяти. 


В х86 адрес представляется в виде 32-битного числа (Т.е. занимает 4 байта), а 
в х86-64 как 64-битное число (занимает 8 байт). Кстати, отсюда негодование 
некоторых людей, связанное с переходом на х86-64 — на этой архитектуре 
все указатели занимают в 2 раза больше места, в том числе и в “дорогой” кэш- 
памяти. 


При некотором упорстве можно работать только с безтиповыми указателями 
(void*), например, стандартная функция Си memcpy (), копирующая блок из од- 
ного места памяти в другое принимает на вход 2 указателя типа void*, потому 
что нельзя заранее предугадать, какого типа блок вы собираетесь копировать. 
Для копирования тип данных не важен, важен только размер блока. 


Также указатели широко используются, когда функции нужно вернуть более 
одного значения (мы ещё вернемся к этому в будущем (3.21 (стр. 763)) ). 


Функция 5сапК)—это как раз такой случай. 


Помимо того, что этой функции нужно показать, сколько значений было про- 
читано успешно, ей ещё и нужно вернуть сами значения. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Тип указателя в Си/Си+ +нужен только для проверки типов на стадии компи- 
ляции. 


Внутри, в скомпилированном коде, никакой информации о типах указателей 
нет вообще. 


х86 
MSVC 


Что получаем на ассемблере, компилируя B MSVC 2010: 


CONST SEGMENT 


$563831 ОВ 'Enter Х:', бан, Өөн 

$563832 рв '%d', ӨӨН 

563833 рв 'You entered %а...', бан, оон 
CONST ENDS 

PUBLIC _main 

EXTRN _scanf : PROC 

EXTRN _printf:PROC 


; Function compile flags: /0а+р 
_TEXT SEGMENT 


_х$ = -4 ; size=4 
_main PROC 

push ebp 

mov ebp, esp 

push ecx 


push OFFSET $563831 ; 'Enter X:' 
call printf 

add esp, 4 

lea eax, DWORD PTR _x$[ebp] 


push eax 

push OFFSET $563832 ; '%d' 
call _scanf 

add esp, 8 

mov ecx, DWORD PTR _x$[ebp] 
push ecx 


push OFFSET $563833 ; 'You entered %d...' 
call printf 


add esp, 8 
; возврат 0 
хог еах, еах 
mov esp, ebp 
pop ebp 
ret 0 

_та1п ЕМОР 

_ТЕХТ ENDS 


Переменная х является локальной. 


По стандарту Си/Си+ +она доступна только из этой же функции и нигде 6o- 
лее. Так получилось, что локальные переменные располагаются в стеке. Мо- 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


92 
жет быть, можно было бы использовать и другие варианты, но в х86 это тра- 
диционно так. 


Следующая после пролога инструкция PUSH ECX не ставит своей целью сохра- 
нить значение регистра ЕСХ. (Заметьте отсутствие соответствующей инструк- 
ции РОР ECX в конце функции). 


Она на самом деле выделяет в стеке 4 байта для хранения х в будущем. 


Доступ к х будет осуществляться при помощи объявленного макроса _х$ (он 
равен -4) и регистра ЕВР указывающего на текущий фрейм. 


Во всё время исполнения функции ЕВР указывает на текущий фрейм и через 
ЕВР+смещение можно получить доступ как к локальным переменным функции, 
так и аргументам функции. 


Можно было бы использовать ESP, но он во время исполнения функции часто 
меняется, а это не удобно. Так что можно сказать, что ЕВР это замороженное 
состояние ESP на момент начала исполнения функции. 


Разметка типичного стекового фрейма в 32-битной среде: 


ЕВР-8 локальная переменная #2, маркируется в IDA как var 8 
ЕВР-4 локальная переменная #1, маркируется в IDA как var 4 
ЕВР сохраненное значение ЕВР 

ЕВР+4 адрес возврата 

ЕВР+8 аргумент#1, маркируется в IDA как arg 0 


ЕВР+0хС | аргумент#2, маркируется в IDA как аго 4 
ЕВР+0х10 | аргумент#3, маркируется в IDA как аго 8 


У функции ѕсап?() в нашем примере два аргумента. 


Первый — указатель на строку, содержащую %4 и второй — адрес переменной 
х. 


Вначале адрес х помещается в регистр ЕАХ при помощи инструкции Теа еах, 
DWORD РТВ х$[ерр]. 


Инструкция LEA означает load effective address, и часто используется для фор- 
мирования адреса чего-либо (.1.6 (стр. 1288)). 


Можно сказать, что в данном случае LEA просто помещает в EAX результат 
суммы значения в регистре ЕВР и макроса _х$. 


Это тоже что и Теа еах, [ерр-4]. 


Итак, от значения ЕВР отнимается 4 и помещается в ЕАХ. Далее значение ЕАХ 
заталкивается в стек и вызывается ѕсапї (). 


После этого вызывается рг1п{Т(). Первый аргумент вызова строка: You entered 
%4...\П. 


Второй аргумент: mov ecx, [ебр-4]. Эта инструкция помещает в ECX не адрес 
переменной х, а её значение. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Далее значение ECX заталкивается в стек и вызывается printf(). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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MSVC + OllyDbg 


Попробуем этот же пример B OllyDbg. Загружаем, нажимаем F8 (сделать шаг, 
не входя в функцию) до тех пор, пока не окажемся в своем исполняемом файле, 
ане в пїа11. 911. Прокручиваем вверх до тех пор, пока не найдем та1п(). Wen- 
каем на первой инструкции (PUSH ЕВР), нажимаем F2 (set а breakpoint), затем 
F9 (Вип) и точка останова срабатывает на начале та1п(). 


Трассируем до того места, где готовится адрес переменной т: 


nain thread, module ex1 = x| 
09Е 71008 А ap Е Z - = 


T 
PTR DS:[<&MSUCR100.printf>] 


4 
ELOCAL. 11 


t BLFFFFFFFF) 
@(ЕЕЕЕЕЕЕЕ) 
@(ЕЕЕЕЕЕЕЕ) 

* CALL | 9928 В(ЕЕЕЕЕЕЕЕ) 

—- - 5 д Йй › ? Одда! ) 

Stack ГВЯЗТЕОВ Ї.08ЕЭ3000; ASCII "Enter Я: ан РЕР 

ЕВХ=ЙӨЗ1ЕОВ4, PTR to ASCII "НЕ" 2... 2 


YE EFL 00002A 


65 6E 74 
2E ØA #0 98 ЕЕ FF FF 
ЕЕ FF РЕ FF|01 


п пя ря пя пя пя пя пя пя дӣ 


Рис. 1.13: OllyDbg: вычисляется адрес локальной переменной 


На EAX в окне регистров можно нажать правой кнопкой и далее выбрать «Follow 
іп stack». Этот адрес покажется в окне стека. 


Смотрите, это переменная в локальном стеке. Там дорисована красная стрел- 
ка. И там сейчас какой-то мусор (0х6Е494714). Адрес этого элемента стека ceñ- 
час, при помощи РОЅН запишется в этот же стек рядом. Трассируем при по- 
мощи F8 вплоть до конца исполнения ѕсапї (). А пока ѕсапї () исполняется, в 
консольном окне, вводим, например, 123: 


Enter X: 
123 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Вот тут ѕсап#() отработал: 


РУЗН ЕВР 

МОУ ЕВР,ЕЅР 

PUSH ECX 

PUSH OFFSET Ø0E93000 

CALL Donn PTR 05: [<&MSUCR100.printf>] 
ADD ESP, 4 

LEA EAX, [LOCAL. 17 

PUSH EAX 

PUSH OFFSET ØOE930ØC 

CALL DWORD PTR DS:[<&MSUCR100. зсап# >] 


ADD ESP, 8 

МОУ ECX, DWORD PTR SS:[LOCAL. 1] 
PUSH ECX 

PUSH OFFSET е 


6E445AAG 15 CR100. 6E445AAG 
94508 MSU 29. —_badioinfo 


NDO м mmmmmmm mf% 


ALFFFFFFFF) 
ТЕЕПОӘЙЙ(ЕРЕ) 


570188. т. ТЕ EAX Ж @(ЕЕРЕЕЕРЕ) 
Е$Р=8831Р0ЯС, PTR to ASCII "иа" 


Рис. 1.14: OllyDbg: scanf () исполнилась 


scanf () вернул 1 B EAX, что означает, что он успешно прочитал одно значение. 
В наблюдаемом нами элементе стека теперь 0х7В (123). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Чуть позже это значение копируется из стека в регистр ЕСХ и передается в 
printf(): 


main thread, module exi 


PUSH ЕВР i 
МОУ ЕВР, ЕЗР ЕИ 


PUSH ECX 

PUSH OFFSET _00E92000 ИЕ 

CALL DWORD РТА 08: СС&МЗУСВ18. огл 

ADD ЕЅР,4 

LEA EAX, ELOCAL. 1] 

PUSH EAX 

©З ØC20E90A |PUSH OFFSET B0E9200C 

FF15 Ва2ОЕ9Й! CALL DWORD PTR 05: [<&MSUCR100. scanf >] . 

8304 08 ADD ЕЅР,8 00Е9Э18 

8840 ЕС MOU ЕСУ? DWORD PTR SS:CLOCAL. 17 үй +i ЕЕ 
PUSH 2 |р (ЕЕЕЕЕЕЕЕ) 

PUSH ОРЕЗЕТ 89Е938 с р Ё(РЕРЕЕЕЕЕ) 

ЕЕЕ E СЕЗШ САНГ DWORD PTR 05: Т шизисв1дй„ргїпє#>1 1 lt Ё(РЕРЕЕЕРЕ) 


к 093120601 =6031Е064 F- E РРР 


MSUCR100.__badioinfo 


acl 
ECX=00000078 (decimal 123.) 


100000 ERROR_SUCCESS 
‚Я, М5 


Рис. 1.15: OllyDbg: готовим значение для передачи в ргіпї? () 


GCC 


Попробуем тоже самое скомпилировать B Linux при помощи ССС 4.4.1: 


main proc near 

var_20 = dword ptr -20h 

уаг_1С = амога ptr -1Сһ 

маг 4 = амога ptr -4 
push ebp 
mov ebp, esp 
and esp, OFFFFFFFOh 
sub esp, 20h 
mov [esp+20h+var_20], offset aEnterX ; "Enter X:" 
call _puts 
mov eax, offset ар ; "%а" 
lea edx, [esp+20h+var 4] 
mov [esp+20h+var_1C], edx 
mov [esp+20h+var_20], eax 
call _ isoc99 scanf 
mov edx, [esp+20h+var 4] 
mov eax, offset aYouEnteredD___ ; "You entered %d...\n 
mov [esp+20h+var_1C], edx 
mov [esp+20h+var_20], eax 
call _printf 
mov eax, 0 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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leave 
retn 
main endp 


ССС заменил первый вызов printf() Ha puts (). Почему это было сделано, уже 
было описано ранее (1.5.3 (стр. 28)). 


Далее всё как и прежде — параметры заталкиваются через стек при помощи 
MOV. 


Кстати 


Этот простой пример иллюстрирует то обстоятельство, что компилятор преоб- 
разует список выражений в Си/Си+ +-блоке просто в последовательный набор 
инструкций. Между выражениями в Си/Си+ +ничего нет, и в итоговом машин- 
ном коде между ними тоже ничего нет, управление переходит от одной ин- 
струкции к следующей за ней. 


x64 


Всё то же самое, только используются регистры вместо стека для передачи 
аргументов функций. 


MSVC 


Листинг 1.72: MSVC 2012 x64 


_DATA SEGMENT 


$561289 DB 'Enter X:', бан, оон 
$SG1291 DB '%d', ӨӨН 
$561292 DB 'You entered %d...', бан, ӨӨН 
_DATA ENDS 
_ TEXT SEGMENT 
x$ = 32 
main PROC 
$LN3: 
sub rsp, 56 
lea rcx, OFFSET FLAT:$SG1289 ; 'Епїег Х:' 
call printf 
lea rdx, QWORD PTR х$[г5р] 
lea rcx, OFFSET FLAT:$SG1291 ; '%d' 
call scanf 
mov edx, DWORD РТА x$[rsp] 
lea rcx, OFFSET FLAT:$SG1292 ; 'You entered %d...' 
call printf 
; возврат 0 
хог еах, еах 
ааа г5р, 56 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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геї 0 
main ENDP 
_TEXT ENDS 
GCC 
Листинг 1.73: Оптимизирующий ССС 4.4.6 x64 
.LCO: 
„String "Enter X:" 
.LC1: 
„String "%d" 
.LC2: 
.sString "You entered %d...\n" 
main: 
sub rsp, 24 
mov edi, OFFSET FLAT:.LCO ; "Enter Х:" 
call puts 
lea rsi, [rsp+12] 
mov edi, OFFSET FLAT:.LC1 ; "%а" 
xor eax, eax 
call _ isoc99 scanf 
mov esi, DWORD PTR [rsp+12] 
mov edi, OFFSET FLAT:.LC2 ; "You entered %d...\n" 
xor eax, eax 
call printf 
; возврат 0 
хог еах, еах 
ааа rsp, 24 
гет 
АКМ 


Оптимизирующий Кей! 6/2013 (Режим Thumb) 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
:00000054 
%d.. 


.text 


00000042 
00000042 
00000042 
00000042 
00000042 
00000044 
00000046 
0000004А 
0000004C 
0000004E 
00000052 


Ха” 


ѕсап# таіп 
var 8 = -8 
08 В5 PUSH {АЗ , LR} 
A9 AO ADR RO, aEnterX ; "Enter X:\n" 
06 FO D3 F8 BL _ 2printf 
69 46 MOV R1, SP 
АА AO ADR RO, aD ; "%а" 
06 FO CD F8 BL _ Oscanf 
00 99 LDR R1, [SP,#8+var 8] 
A9 AO ADR RO, aYouEnteredD__ ; "You entered 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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.1ехї:00000056 06 FO СВ F8 BL _ 2printf 
.text:0000005A 00 20 MOVS RO, #0 
.text:0000005C 08 BD POP {R3, PC} 


Чтобы scanf () мог вернуть значение, ему нужно передать указатель Ha nepe- 
менную типа int. int — 32-битное значение, для его хранения нужно только 4 
байта, и оно помещается в 32-битный регистр. 


Место для локальной переменной х выделяется в стеке, IDA наименовала её 
уаг 8. Впрочем, место для неё выделять не обязательно, т.к. указатель стека 
ЅР уже указывает на место, свободное для использования. Так что значение 
указателя SP копируется в регистр R1, и вместе с огтаї-строкой, передается 
в ѕсап#(). 


Инструкции РОЅН/РОР в ARM работают иначе, чем в х86 (тут всё наоборот). Это 
синонимы инструкций STM/STMDB/LDM/LDMIA. И инструкция PUSH в начале 3a- 
писывает в стек значение, затем вычитает 4 из $Р. РОР в начале прибавляет 
4 к SP, затем читает значение из стека. Так что после PUSH, SP указывает на 
неиспользуемое место в стеке. Его и использует ѕсап?#(), а затем и ргіп+# (). 


ЕОМТА означает Load Multiple Registers Increment address After each transfer. 5ТМОВ 
означает Store Multiple Registers Decrement address Before each transfer. 


Позже, при помощи инструкции LDR, это значение перемещается из стека B 
регистр R1, чтобы быть переданным в ргіпі+ (). 


АКМ64 


Листинг 1.74: Неоптимизирующий ССС 4.9.1 ARM64 


.LCO: 
„String "Enter X:" 
„ЕСТ: 
„String "%а" 
.LC2: 
.string "You entered %d...\n" 
scanf таіп: 
; вычесть 32 из SP, затем сохранить ЕР n LR в стековом фрейме: 
51р x29, x30, [5р, -32]! 
; установить стековый фрейм (ЕР=5Р) 
ааа x29, sp, 0 
загрузить указатель на строку "Enter X:" 
айгр x0, .LCO 
add x0, x0, :1012:.1С0 
ХӨ=указатель на строку "Enter X:" 
вывести её: 
bl puts 
загрузить указатель на строку "%d": 
айгр x0, .LC1 


add x0, x0, :1012:.1С1 
найти место в стековом фрейме для переменной "x" (X1=FP+28): 
ааа х1, х29, 28 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Х1=адрес переменной "х" 

; Передать адрес в ѕсап#() и вызвать её: 
bl __150с99 scanf 

загрузить 32-битное значение из переменной B стековом фрейме: 
1аг м1, [х29, 28] 


; М1=х 

загрузить указатель на строку "You entered %а. . .\п" 

ргіпі#() возьмет текстовую строку из ХӨ и переменную "х" из X1 (или М1) 
агр х0, .1С2 


ааа х0, х0, :1012:.1С2 
bl printf 
; возврат 0 
тоу м0, 0 
; восстановить ЕР и LR, затем прибавить 32 к SP: 
1ар x29, x30, [sp], 32 
ret 


Под стековый фрейм выделяется 32 байта, что больше чем нужно. Может быть, 
это связано с выравниваем по границе памяти? Самая интересная часть — это 
поиск места под переменную хт в стековом фрейме (строка 22). Почему 28? 
Почему-то, компилятор решил расположить эту переменную в конце стеково- 
го фрейма, а не в начале. Адрес потом передается в ѕсап?#(), которая просто 
сохраняет значение, введенное пользователем, в памяти по этому адресу. Это 
32-битное значение типа int. Значение загружается в строке 27 и затем nepe- 
дается в ргіпі+ (). 


MIPS 


Для переменной х выделено место в стеке, и к нему будут производиться об- 
ращения как $р + 24. 


Её адрес передается в 5сапТ(), а значение прочитанное от пользователя 3a- 
гружается используя инструкцию LW («Load Мога» — загрузить слово) и затем 
оно передается в ргіпі? (). 


Листинг 1.75: Оптимизирующий ССС 4.4.5 (вывод на ассемблере) 


$С0: 
.аѕсії "Enter Х:\000" 
$LC1: 
„ascii "%а\000" 
$LC2: 
.а5с11 "You entered %d...\012\000" 
main: 
; пролог функции: 
lui $28,%һі( дпи 1оса1_ор) 
addiu %5р,%5р,-40 
addiu $28,%28,%10( дпи 1оса1 ор) 
Sw $31,36($sp) 
; вызов puts(): 
lw $25,%call16 (puts) ($28) 
lui $4,%hi($LC0) 
jalr $25 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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addiu 
; вызов scanf(): 
1м 
lui 
1м 


addiu 
jalr 
addiu 


$4,$4,%10о ($ЕС0) 


$28,16($5р) 
$4, %1($1_С1) 


; branch delay slot 


$25,%са1116( 150с99 scanf) ($28) 


$5,%5р, 24 
$25 
$4, $4, %10 ($1С1) 


установить второй аргумент для ѕсап#(), $а1=$5р-+24: 


; branch delay slot 


вызов printf(): 

1м $28,16($5р) 
установить второй аргумент для printf(), 
; загрузить слово по адресу $sp+24: 


1м $5,24($5р) 

м $25 ,%са1116(ргіпї?) ($28) 

lui $4,%hi($LC2) 

jalr $25 

addiu $4,$4,%lo($LC2) ; branch delay slot 


эпилог функции: 


1м $31,36(%5р) 
; установить возвращаемое значение в 0: 
move $2,$0 
; возврат: 
ј $31 
addiu %$ѕр,%ѕр,40 ; branch delay slot 


IDA показывает разметку стека следующим образом: 


Листинг 1.76: Оптимизирующий ССС 4.4.5 (IDA) 


.Техі: 00000000 main: 

.1ехї:00000000 

.Хехї:00000000 маг 18 = -0x18 

.Хехї:00000000 маг 10 = -0x10 

.Хехї: 00000000 var 4 = -4 

.1ехї:00000000 

; пролог функции: 

. text: 00000000 lui $gp, (__опи 1оса1 ор >> 16) 

. text: 00000004 addiu $sp, -0x28 

. text : 00000008 la $gp, (_ дпи 1оса1 др & ОхЕЕЕР) 

. text :0000000C SW $ra, 0x28+var_4($sp) 

.text:00000010 Sw $gp, 0x28+var_18($sp) 

; вызов puts(): 

.Техт: 00000014 lw $t9, (puts & OxFFFF)($gp) 

.text:00000018 lui $a0, ($1С0 >> 16) # "Enter X:" 

.text:0000001C jalr $t9 

.text:00000020 la фаб, ($LCO & OxFFFF) # "Enter X:" ; branch 
delay slot 

; вызов scanf(): 

. text :00000024 lw $gp, 0x28+var_18($sp) 

. text: 00000028 lui $a0, ($LC1 >> 16) # "%а" 

. text :0000002C lw $19, (_isoc99 scanf & OxFFFF)($gp) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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; установить второй аргумент для ѕсап#(), $а1=$5р-+24: 
.1ехї:00000030 addiu $al, $5р, 0х28+\аг 10 

. text : 00000034 jalr $t9 ; branch delay slot 

. text : 00000038 la фаб, ($LC1 & OxFFFF) # "%а" 
; вызов printf(): 

. text :0000003C 1м фар, 0х28+маг 18(%5р) 


; установить второй аргумент для printf(), 
; загрузить слово по адресу %$5р+24: 


. text : 00000040 lw $al, 0x28+var_10($sp) 

. text: 00000044 lw $t9, (printf & 0OxFFFF)($gp) 

.ехі: 00000048 lui фаб, ($LC2 >> 16) # "You entered %d...\n" 

. text :0000004C jalr $t9 

.text:00000050 la фаб, ($LC2 & OxFFFF) # "You entered %d...\n" 


; branch delay slot 
; эпилог функции: 


‚техї:00000054 lw $ra, 0x28+var_4($sp) 

‚ установить возвращаемое значение в 0: 

. text : 00000058 move $у0, $zero 

; возврат: 

. text :0000005C jr $ra 

. text: 00000060 addiu $sp, 0x28 ; branch delay slot 


1.12.2. Классическая ошибка 


Это очень популярная ошибка (и/или опечатка) — передать значение х вместо 
указателя нах: 


#include <stdio.h> 
int main() 
{ 
int х; 
printf ("Enter X:\n"); 
scanf ("%d", х); // BUG 
printf ("You entered %d...\n", x); 


return 0; 


}; 


Что тут происходит? х не инициализирована и содержит случайный шум из 
локального стека. Когда вызывается ѕсап? (), ф-ция берет строку от пользова- 
теля, парсит её, получает число и пытается записать в х, считая его как адрес 
в памяти. Но там случайный шум, так что ѕсап#() будет пытаться писать по 
случайному адресу. Скорее всего, процесс упадет. 


Интересно что некоторые СВТ-библиотеки, в отладочной сборке, заполняют 


только что выделенную память визуально различимыми числами вроде 0хСССССССС 


или ОхОВАБРООЮ, и т. д. В этом случае, х может содержать 0хСССССССС, и 
ѕсап#() попытается писать по адресу ОхСССССССС. Если вы заметите что что- 
то в вашем процессе пытается писать по адресу ОхСССССССС, вы поймете, что 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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неинициализированная переменная (или указатель) используется без инициа- 
лизации. Это лучше, чем если только что выделенная память очищается нуле- 
выми байтами. 


1.12.3. Глобальные переменные 


А что если переменная х из предыдущего примера будет глобальной пере- 
менной, а не локальной? Тогда к ней смогут обращаться из любого другого 
места, а не только из тела функции. Глобальные переменные считаются анти- 
паттерном, но ради примера мы можем себе это позволить. 


#include <stdio.h> 


// теперь х это глобальная переменная 


int х; 
int main() 
{ 
printf ("Enter X:\n"); 
scanf ("%d", &х); 
printf ("You entered %d...\n", x); 
return 0; 
}; 
М$\УС: x86 
_ОАТА SEGMENT 
COMM  _x:DWORD 
$562456 рв "Епёег Х:', бан, Өөн 
562457 рв '%d', ӨӨН 
562458 рв 'You entered %а...', бан, оон 
_ОАТА ENDS 
PUBLIC _main 
EXTRN _scanf :PROC 
EXTRN _printf:PROC 


; Function compile flags: /Odtp 
_TEXT SEGMENT 


_main PROC 
push ebp 
mov ebp, esp 


push OFFSET $562456 
call printf 

add esp, 4 

push OFFSET x 

push OFFSET $562457 
call _scanf 

add esp, 8 

mov eax, DWORD PTR x 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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push eax 
push OFFSET $562458 
call printf 


add esp, 8 
xor eax, eax 
pop ebp 
ret 0 

_та1п ЕМОР 

_ТЕХТ ENDS 


В целом ничего особенного. Теперь х объявлена в сегменте ВАТА. Память для 
неё в стеке более не выделяется. Все обращения к ней происходят не через 
стек, а уже напрямую. Неинициализированные глобальные переменные не за- 
нимают места в исполняемом файле (и действительно, зачем в исполняемом 
файле нужно выделять место под изначально нулевые переменные?), но то- 
гда, когда к этому месту в памяти кто-то обратится, ОС подставит туда блок, 
состоящий из нулей”". 


Попробуем изменить объявление этой переменной: 


int х=10; // значение по умолчанию 


Выйдет в итоге: 


_БАТА SEGMENT 
_х рр дан 


Здесь уже по месту этой переменной записано 0хА с типом DD (dword = 32 
бита). 


Если вы откроете скомпилированный .ехе-файл в IDA, то увидите, что х нахо- 
дится в начале сегмента РАТА, после этой переменной будут текстовые стро- 
ки. 


А вот если вы откроете в IDA .ехе скомпилированный в прошлом примере, где 
значение х не определено, то вы увидите: 


Листинг 1.77: IDA 


.data:0040FA80 х аа ? ; DATA XREF: таіп+10 
.data:0040FA80 ; _main+22 

.data:0040FA84 dword 40FA84 dd ? ; DATA XREF: memset+1E 

. data :0040FA84 ; unknown libname 1+28 
.data:0040FA88 дмога 40FA88 dd ? ; DATA XREF: sbh find block+5 
.data :0040FA88 | sbh free block+2BC 
.data:0040FA8C ; LPVOID lpMem 

.data:0040FA8C lpMem dd ? ; DATA XREF: sbh find block+B 
.data:0040FA8C е sbh free р1оск+2СА 
.data:0040FA90 dword_ 40ҒА9О dd ? ; DATA XREF: V6 HeapAlloc+13 
.data:0040FA90 е са11ос ітр1+72 
.data:0040FA94 дмога 40ЕА94 аа ? ; DATA XREF: sbh _ free block+2FE 


71Так работает VM 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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_х обозначен как ?, наряду с другими переменными не требующими инициа- 
лизации. Это означает, что при загрузке .ехе в память, место под всё это вы- 
делено будет и будет заполнено нулевыми байтами [ISO/IEC 9899:ТСЗ (С C99 
standard), (2007)6.7.8р10]. Но в самом .ехе ничего этого нет. Неинициализиро- 
ванные переменные не занимают места в исполняемых файлах. Это удобно 
для больших массивов, например. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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М5ҮС: x86 + OllyDbg 
Тут даже проще: 


іп thread, module ex2 


ØLFFFFFFFF) 
В(ЕЕЕЕЕЕЕЕ) 
Я(ЕЕЕЕЕЕЕЕ) 
В(ЕЕЕЕЕЕЕЕ) 
?ЕЕОО89В(ЕЕЕ) 
@ГЕЕЕЕЕЕРЕ) 


U SUCCESS 
‚РЕ, GE, G) 


а 


Рис. 1.16: OllyDbg: после исполнения $сапТ () 


Переменная хранится в сегменте данных. Кстати, после исполнения инструк- 
ции PUSH (заталкивающей адрес х) адрес появится в стеке, и на этом элементе 
можно нажать правой кнопкой, выбрать «Follow іп dump». И в окне памяти cne- 
ва появится эта переменная. 


После того как в консоли введем 123, здесь появится 0х7В. 


Почему самый первый байт это 7В? По логике вещей, здесь должно было бы 
быть 00 00 00 7B. Это называется епаіаппеѕѕ, и в X86 принят формат little- 
endian. Это означает, что в начале записывается самый младший байт, а 3a- 
канчивается самым старшим байтом. Больше об этом: 2.2 (стр. 583). 


Позже из этого места в памяти 32-битное значение загружается в ЕАХ и пере- 
дается в ргіпі+(). 


Адрес переменной = в памяти 0х00С53394. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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В OllyDbg мы можем посмотреть карту памяти процесса (АК-М) и увидим, что 
этот адрес внутри РЕ-сегмента .дафа нашей программы: 


Address [5іге Owner Section |Contains Туре Access | ІпітіаЦ Марреа as aj 
00070000 йййЄгййй С: Мі пдом=“5у 5тем325 оса іе. п1+ 
00190000| 80895088 Неар 
00209000 @йййй?@йй 
0044С000 80081808 
00440000 80883898 Stack of main thread 
00590000 | 00007A 
00750000 @айййс@айй Default heap 
@йС5йййй! 00801088 | ex2 PE header 

00С51000 | В0001000 | ex2 . Code 

В9С52008| 008010088 | ex2 . Imports 

90С53808 08081 ex2 Data 

88С54088| 89881 ен2 Re locat ions 

бЕЗЕЙЙЙЙ! 000A1000| MSUCR100 PE header 

6E3E1000| OOOBZOHO| М5УСВ1 АВ š Code, imports, esports 
6E493000| @йййЄййй! MSUCR100 . Data 

6E499000| йййй1@@й! MSUCR100 . Resources 

6E49A000| п0В050Йа | MSUCR100 . Ве locat ions 

75500000| 00001000| Mod_755D PE header 

75501000 80893988 
75504000| 00001000 
75505000| 00003000 
755E0000| 00001000| Mod_755E PE header 
755E1000| 80840088 
7562E000| повосава 
75633000| 00009900A 
75640000| 00001000| Mod_7564 PE header 
75641000| 00038000 
75679000| 00092008 
7567B000| 00004000 
76F50000| 00010000 Кегпе 132 РЕ header 

76F60000| 000000080 Кегпе [32 Code, imports, esports 
77030000| 00010000  кегпе 132 Data 

77040000| 00010000| kerne [32 Resources 

77050000| OØGØBOGA| kerne 132 Ве locat ions 

77810000| 00001000| KERNELBASE PE header 

77811000| 00040000 KERNELBASE Code, imports, esports 
77851000| П0002000 KERNELBASE Data 

77853000| 00001000 KERNELBASE Resources 

77854000| П0003000 KERNELBASE Re locat ions 

77828008 ЕЕ Mod_77B2 PE header 


PE header 
Code, exports 
Code 
77Е00008 | 00803008 ntd l баса 


Рис. 1.17: OllyDbg: карта памяти процесса 


ССС: х86 


В Ипих всё почти также. За исключением того, что если значение х не опре- 
делено, то эта переменная будет находиться в сегменте bss. В ЕГЕ”? этот 
сегмент имеет такие атрибуты: 


; Segment type: Uninitialized 
; Segment permissions: Read/Write 


Hy а если сделать статическое присвоение этой переменной какого-либо 3Ha- 
чения, например, 10, то она будет находиться в сегменте data, это сегмент с 
такими атрибутами: 


; Segment type: Риге data 
; Segment permissions: Read/Write 


72Executable апа Linkable Format: Формат исполняемых файлов, использующийся в пих и HEKO- 
торых других *МІХ 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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MSVC: x64 


Листинг 1.78: MSVC 2012 x64 


_DATA SEGMENT 
COMM x : DWORD 


$562924 DB 'Enter X:', бан, оон 
$562925 DB '%d', ӨӨН 
$562926 DB 'You entered %d...', бан, ӨӨН 
_DATA ENDS 
_ TEXT SEGMENT 
main PROC 
$LN3: 
sub rsp, 40 
lea rcx, OFFSET FLAT:$SG2924 ; 'Enter X:' 
call printf 
lea rdx, OFFSET FLAT:x 
lea rcx, OFFSET FLAT:$SG2925 ; '%d' 
call scanf 
mov edx, DWORD PTR x 
lea rcx, OFFSET FLAT:$SG2926 ; 'You entered %4...' 
call printf 
; возврат 0 
хог еах, еах 
ааа rsp, 40 
геї 0 
main ENDP 
_ TEXT ENDS 


Почти такой же код как и B X86. Обратите внимание что для scanf () адрес 
переменной = передается при помощи инструкции LEA, а во второй printf() 
передается само значение переменной при помощи MOV. DWORD PTR — это часть 
языка ассемблера (не имеющая отношения к машинным кодам) показывающая, 
что тип переменной в памяти именно 32-битный, и инструкция MOV должна 
быть здесь закодирована соответственно 


АКМ: Оптимизирующий Keil 6/2013 (Режим Thumb) 


Листинг 1.79: IDA 


.{ех{:00000000 ; Segment туре: Риге code 


.text:00000000 AREA .text, CODE 

.text:00000000 main 

.text:00000000 PUSH {R4, LR} 

. text :00000002 ADR RO, aEnterX ; "Enter X:\n" 
. text :00000004 BL _ 2printf 

. text: 00000008 LDR R1, =х 

. text: 0000000А ADR RO, aD "а" 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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. text :0000000C BL _ Oscanf 

.text:00000010 LDR RO, =x 

.text:00000012 LDR R1, [АӨ] 

. text :00000014 ADR RO, aYouEnteredD___; "You entered %d...\n" 

.text:00000016 BL _ 2printf 

.text:0000001A MOVS RO, #0 

.text:0000001C POP {R4, PC} 

.text:00000020 aEnterX DCB "Enter Х:",0хА,0 ; DATA XREF: main+2 

.text:0000002A DCB 0 

. text :0000002B DCB 0 

.text:0000002C off 2С DCD х ; DATA XREF: main+8 

. text :0000002C ; main+10 

.text:00000030 aD DCB "%d",0 ; DATA XREF: main+A 

. text : 00000033 DCB 0 

.Хехї:00000034 aYouEnteredD__ DCB "You entered %4...",0хА,0 ; РАТА XREF: 
main+14 

. text: 00000047 DCB 0 


.text:00000047 ; .text ends 
. text: 00000047 


.data:00000048 ; Segment type: Pure data 


.data:00000048 AREA .data, DATA 

.data:00000048 ; ORG 0x48 

.Чата:00000048 ЕХРОВТ х 

.data:00000048 х DCD ОХА ; DATA XREF: таіп+8 
.да+а: 00000048 ; паіп+10 


‚аата: 00000048 ; „дата ends 


Итак, переменная х теперь глобальная, и она расположена, почему-то, в дру- 
гом сегменте, а именно сегменте данных (.даѓа). Можно спросить, почему Tek- 
стовые строки расположены в сегменте кода (.text), а х нельзя было разме- 
стить тут же? 


Потому что эта переменная, и как следует из определения, она может менять- 
ся. И может быть, меняться часто. 


Ну а текстовые строки имеют тип констант, они не будут меняться, поэтому 
они располагаются в сегменте .їехї. 


Сегмент кода иногда может быть расположен в ПЗУ микроконтроллера (не 
забывайте, мы сейчас имеем дело с встраиваемой (embedded) микроэлектро- 
никой, где дефицит памяти — обычное дело), а изменяемые переменные — в 
ОЗУ. 


Хранить в ОЗУ неизменяемые данные, когда в наличии есть ПЗУ, не экономно. 


К тому же, сегмент данных в ОЗУ с константами нужно инициализировать пе- 
ред работой, ведь, после включения ОЗУ, очевидно, она содержит в себе слу- 
чайную информацию. 


Далее мы видим в сегменте кода хранится указатель на переменную х (о## 2С) 
и все операции с переменной происходят через этот указатель. 


Это связано с тем, что переменная х может быть расположена где-то довольно 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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далеко от данного участка кода, так что её адрес нужно сохранить в непосред- 
ственной близости к этому коду. 


Инструкция LDR в ТВит6-режиме может адресовать только переменные в Npe- 
делах вплоть до 1020 байт от своего местоположения. 


Эта же инструкция в АВМ-режиме — переменные в пределах +4095 байт. 


Таким образом, адрес глобальной переменной х нужно расположить в непо- 
средственной близости, ведь нет никакой гарантии, что компоновщик”3 CMO- 
жет разместить саму переменную где-то рядом, она может быть даже в дру- 
гом чипе памяти! 


Ещё одна вещь: если переменную объявить, как const, то компилятор Кей раз- 
местит её в сегменте .constdata. 


Должно быть, впоследствии компоновщик и этот сегмент сможет разместить 
в ПЗУ вместе с сегментом кода. 


ARM64 
Листинг 1.80: Неоптимизирующий GCC 4.9.1 ARM64 
. COMM X,4,4 
.LCO: 
„String "Enter X:" 
.LC1: 
„string "%d" 
.LC2: 
.string "You entered %d...\n" 
f5: 
; сохранить ЕР n LR в стековом фрейме: 
stp x29, x30, [sp, -16]! 
; установить стековый фрейм (FP=SP) 
ааа x29, sp, 09 


; загрузить указатель на строку "Enter Х:": 
айгр х0, .LCO 
ааа x0, x0, :1012:.1С0 
bl puts 
; загрузить указатель на строку "%d": 
айгр x0, .LC1 


add x0, x0, :l012:.LC1 
; сформировать адрес глобальной переменной x: 
айгр xl, x 
add х1, х1, :1012:х 
bl __150с99 scanf 


; снова сформировать адрес глобальной переменной x: 
аагр х0, х 
ааа x0, x0, :1012:х 

; загрузить значение из памяти по этому адресу: 
1аг м1, [х0] 

; загрузить указатель на строку "You entered %а. . .\п": 
агр х0, .1С2 


73|іпкег в англоязычной литературе 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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ааа х0, х0, :1012:.1С2 
bl printf 

; возврат 0 
тоу м0, 0 

; восстановить ЕР и LR: 
1ар x29, x30, [sp], 16 
ret 


Теперь х это глобальная переменная, и её адрес вычисляется при помощи пары 
инструкций ADRP/ADD (строки 21 и 25). 


MIPS 

Неинициализированная глобальная переменная 

Так что теперь переменная z глобальная. Сделаем исполняемый файл вместо 
объектного и загрузим его в IDA. IDA показывает присутствие переменной = в 


ЕІР-секции .56$$ (помните о «Global Pointer»? 1.5.4 (стр. 33)), так как перемен- 
ная не инициализируется в самом начале. 


Листинг 1.81: Оптимизирующий ССС 4.4.5 (IDA) 


.text:004006C0 main: 
. text :004006C0 


.text:004006C0 var_10 = -0x10 

.text:004006C0 var 4 = -4 

.text:004006C0 

; пролог функции: 

.text:004006C0 lui $gp, 0x42 

. text :004006C4 addiu $sp, -0x20 

. text :004006C8 li $gp, 0x418940 

. text :004006CC Sw $ra, 0x20+var_4($sp) 
. text :004006D0 sw $gp, 0x20+var_10($sp) 
; вызов puts(): 

. text : 00400604 la $t9, puts 

. text :004006D8 lui $a0, 0x40 
.text:004006DC jalr $t9 ; puts 
.text:004006E0 la фаб, aEnterX # "Enter X:" ; branch delay 
р РТ 

. text :004006E4 lw $gp, 0x20+var_10($sp) 
. text :004006E8 lui $a0, 0x40 

. text :004006EC la $t9, _isoc99_ scanf 

; подготовить адрес x: 

. text:004006F0 la $al, x 

. text :004006F4 jalr $t9 ; isoc99 scanf 
. text :004006F8 la $a0, aD # "%d" ; branch delay slot 
; вызов printf(): 

„Техе: 004006ЕС lw $gp, 0x20+var_10($sp) 
. text :00400700 lui $a0, 0x40 

; взять адрес x: 

. text :00400704 la $v0, x 

. text :00400708 la $t9, printf 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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; загрузить значение из переменной "х 


. text :0040070C lw $al, (х - 0х41099С) ($\0) 
.text:00400710 jalr $t9 ; printf 
. text :00400714 la $a0, аҮоиЕпіегеар _ # "You entered %d.. 


; branch delay slot 
; эпилог функции: 


.Техт: 00400718 1м $ra, 0х20+уаг 4($5р) 

. text :0040071C move $\0, $zero 

. text : 00400720 jr $ra 

. text : 00400724 addiu  $sp, 0x20 ; branch delay slot 


.5 
.5 
.5 
.5 
.5 


bss :0041099C 
bss :0041099C 
bss :0041099C 
055:0041099С x: 


# Segment type: Uninitialized 
„5055 

.globl x 

.Space 4 


bss :0041099C 


и передать его в printf() B $al: 


.\п" 


IDA уменьшает количество информации, так что сделаем также листинг NC- 
пользуя о аитр и добавим туда свои комментарии: 


Листинг 1.82: Оптимизирующий ССС 4.4.5 (обрјаитр) 


004006с0 <та1п>: 
; пролог функции: 
4006с0: 3с1с0042 1и1 gp, 0x42 
4006c4: 27bdffe0 addiu sp,sp,-32 
4006c8: 279c8940 addiu gp, gp, -30400 
4006cc: afbf00lc sw ra,28(sp) 
4006d0: afbc0010 sw gp, 16(5р) 
; вызов puts(): 
400604: 81998034 lw 19,-32716(9р) 
400698: 3с040040 lui а0,0х40 
4006ас: 03201809 ја1г +9 
4006е0: 24840810 addiu аб,аб, 2288 ; branch delay slot 
; вызов scanf(): 
4006e4: 8fbc0010 1м gp,16(sp) 
4006e8: 3c040040 lui аб, 0x40 
4006ec: 81998038 1м 19,-32712(9р) 
; подготовить адрес х: 
400610: 81858044 1м а1,-32700(9р) 
400614: 03201809 jalr +9 
400618: 248408#с addiu  a0,a0,2300 ; branch delay slot 
; вызов printf(): 
4006fc: 816с0010 1м 9р,16(5р) 
400700: 3с040040 lui аб, 09х40 
; взять адрес х: 
400704: 81828044 1м \0,-32700 (др) 
400708: 8f99803c lw 19,-32708 (др) 
; загрузить значение из переменной "х" и передать его в printf() в $al: 
40070с: 8с450000 1м а1,0(\0) 
400710: 03201809 jalr +9 
400714: 24840900 addiu аб,аб, 2304 ; branch delay slot 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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; эпилог функции: 


400718: 81Ь01001с 1м га,28(5р) 

40071с: 00001021 move \0, 2его 

400720: 03е00008 jr га 

400724: 27690020 addiu 5р, р, 32 ; branch delay slot 


набор NOP-oB для выравнивания начала следующей ф-ции по 16-байтной границе: 
400728: 00200825 move аї,аї 
40072с: 00200825 move аї,аї 


Теперь мы видим, как адрес переменной x берется из буфера 64КіІВ, используя 
СР и прибавление к нему отрицательного смещения (строка 18). 


И даже более того: адреса трех внешних функций, используемых в нашем при- 
мере (риѕ (), ѕсап?(), ргіпї#()) также берутся из буфера 64КВ используя СР 
(строки 9, 16 и 26). 


СР указывает на середину буфера, так что такие смещения могут нам подска- 
зать, что адреса всех трех функций, а также адрес переменной = расположены 
где-то в самом начале буфера. Действительно, ведь наш пример крохотный. 


Ещё нужно отметить что функция заканчивается двумя МОР-ами (MOVE $АТ, $АТ — 
это холостая инструкция), чтобы выровнять начало следующей функции по 
16-байтной границе. 


Инициализированная глобальная переменная 


Немного изменим наш пример и сделаем, чтобы ух было значение по умолча- 
нию: 


int х=10; // значение по умолчанию 


Теперь IDA показывает что переменная z располагается в секции .даїа: 


Листинг 1.83: Оптимизирующий ССС 4.4.5 (IDA) 


.Хехї:004006А0 main: 

„.Техт:004006А0 

.text:004006A0 маг 10 = -0x10 

.text:004006A0 var 8 = -8 

.text:004006A0 var 4 = -4 

. text :004006A0 

. text: 004006А0 lui $gp, 0x42 

. text: 00400644 addiu $sp, -0x20 

. text: 004006А8 li $gp, 0x418930 

. text:004006AC SW $ra, 0x20+var_4($sp) 
. text :004006B0 Sw $s0, 0x20+var_8($sp) 
. text :004006B4 sw $gp, 0x20+var_10($sp) 
. text : 004006B8 la $t9, puts 

. text :004006BC lui $a0, 0x40 

. text:004006C0 jalr $t9 ; puts 

. text :004006C4 la фаб, aEnterX # "Enter X:" 
. text :004006C8 1м фар, 0x20+var_10($sp) 
; подготовить старшую часть адреса х: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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.text:004006CC lui $s0, 0x41 

. text :004006D0 la $t9, _isoc99 scanf 
.Техт: 00400604 lui $a0, 0x40 

; прибавить младшую часть адреса x: 

.Техт: 00400608 addiu $al, $50, (x - 0x410000) 
; теперь адрес x B $al. 

. text : 004006рс jalr $t9 ; isoc99 scanf 

. text :004006E0 la $a0, aD # "%d" 
. text :004006E4 lw $gp, 0x20+var_10($sp) 

; загрузить слово из памяти: 

.Техт:004006Е8 1м $al, х 

; значение х теперь в $al. 

.ехі: 004006ЕС 1а $19, printf 

. text :004006F0 lui $a0, 0x40 

. text :004006F4 jalr $t9 ; printf 

. text :004006F8 la $a0, aYouEnteredD__ # "You entered %d...\n" 
. text:004006FC 1м $га, 0х20+уаг 4($5р) 
.ехї: 00400700 move $\0, $zero 

. text: 00400704 lw $s0, 0x20+var_8($sp) 

. text : 00400708 jr $ra 

.text:0040070C addiu $sp, 0x20 
.data:00410920 .globl x 

.data:00410920 x: .word ӨхА 


Почему He .sdata? Может быть, нужно было указать какую-то опцию в ССС? Тем 
не менее, х теперь в .data, а это уже общая память и мы можем посмотреть как 
происходит работа с переменными там. 


Адрес переменной должен быть сформирован парой инструкций. В нашем слу- 
чае это ШІ («Load Upper Immediate» — загрузить старшие 16 бит) и ADDIU («Ааа 
Immediate Unsigned Word» — прибавить значение). Вот так же листинг сгене- 
рированный objdump-om для лучшего рассмотрения: 


Листинг 1.84: Оптимизирующий ССС 4.4.5 (орјаитр) 


004006a0 <та1п>: 
4006а0: 3с1с0042 lui gp, 0x42 
4006a4: 27bdffe0 addiu sp,sp,-32 
4006a8: 279c8930 addiu gp, gp, -30416 


4006ac: afbf00lc sw ra,28(sp) 
4006b0: afb00018 sw s0,24(sp) 
400604: afbc0010 sw gp, 16(5р) 
4006b8: 8f998034 1м t9,-32716(gp) 
4006bc: 3c040040 lui аб, 0x40 


4006c0: 0320f809 jalr t9 
4006c4: 248408d0 addiu  a0,a0,2256 


4006c8: 8fbc0010 1м gp, 16(5р) 

; подготовить старшую часть адреса x: 
4006cc: 3с100041 lui 50,0х41 
400690: 81998038 1м 19,-32712(9р) 
400694: 3с040040 lui аб, 0х40 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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прибавить младшую часть адреса х: 

400698: 26050920 addiu а1,50,2336 

теперь адрес х в $а1. 

4006ас: 03201809 jalr 19 

4006е0: 2484084с addiu аб, аб, 2268 

4006е4: 8fbc0010 1м 9р,16(5р) 

старшая часть адреса х всё еще в $0. 

прибавить младшую часть к ней и загрузить слово из памяти: 


4006е8: 8е050920 lw а1,2336(50) 

; значение х теперь в $al. 
400бес: 8#99803с lw 19,-32708(9р) 
400610: 3с040040 lui аб, 0х40 


400614: 03201809 ја1г 19 
400618: 248408е0 addiu а, аб, 2272 


4006fc: 8101001с 1м га,28(5р) 
400700: 00001021 move \0, 2его 
400704: 81600018 1м 50,24 (5р) 
400708: 03е00008 jr га 


40070с: 27690020 addiu 5р, р, 32 


Адрес формируется используя LUI и ADDIU, но старшая часть адреса всё ещё в 
регистре $50, и можно закодировать смещение в инструкции LW («Load Word»), 
так что одной LW достаточно для загрузки значения из переменной и передачи 
его в ргіпї#(). Регистры хранящие временные данные имеют префикс Т-, но 
здесь есть также регистры с префиксом 5-, содержимое которых должно быть 
сохранено в других функциях (Т.е. «saved»). 


Вот почему $50 был установлен по адресу 0х4006сс и затем был использован 
по адресу 0х4006е8 после вызова scanf(). 


Функция 5сапТт() не изменяет это значение. 


1.12.4. Проверка результата ѕсапё() 


Как уже было упомянуто, использовать ѕсап?() в наше время слегка старо- 
модно. Но если уж пришлось, нужно хотя бы проверять, сработал ли ѕсап# () 
правильно или пользователь ввел вместо числа что-то другое, что 5сап{() не 
смог трактовать как число. 


#include <stdio.h> 


int main() 
{ 
int x; 
printf ("Enter X:\n"); 


if (scanf ("%d", &x)==1) 

printf ("You entered %d...\n", x); 
else 

printf ("What you entered? Huh?\n"); 


return 0; 


}; 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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По стандарту, ѕсап? ()7“ возвращает количество успешно полученных значе- 
ний. 


В нашем случае, если всё успешно и пользователь ввел таки некое число, scanf () 
вернет 1. А если нет, то 0 (или ЕОЕ??). 


Добавим код, проверяющий результат ѕсап? () и в случае ошибки он сообщает 
пользователю что-то другое. 


Это работает предсказуемо: 


С:\...>ехЗ.ехе 
Еп+ег Х: 

123 

You entered 123... 


С:\...>ехЗ.ехе 

Еп+ег Х: 

ouch 

What you entered? Huh? 


MSVC: x86 


Вот что выходит на ассемблере (MSVC 2010): 


lea eax, DWORD PTR _х$[ебр] 
push eax 
push OFFSET $563833 ; '%0', 00H 
call _scanf 
add esp, 8 
cmp eax, 1 
jne SHORT $LN2@main 
mov ecx, DWORD PTR _х$[ебр] 
push ecx 
push OFFSET $563834 ; 'You entered %d...', бан, OOH 
call _printf 
add esp, 8 
jmp SHORT $LN1@main 
$LN2@main: 
push OFFSET $563836 ; 'What you entered? Huh?', бан, Өөн 
call _printf 
add esp, 4 
$LN1@main: 
xor eax, eax 


Для того чтобы вызывающая функция имела доступ к результату вызываемой 
функции, вызываемая функция (в нашем случае scanf ()) оставляет это значе- 
ние в регистре ЕАХ. 


745сап, мзсапЕ MSDN 
75End of File (конец файла) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Мы проверяем его инструкцией СМР EAX, 1 (СоМРаге), то есть сравниваем зна- 
чение в ЕАХ с 1. 


Следующий за инструкцией СМР: условный переход JNE. Это означает Jump if 
Not Equal, то есть условный переход если не равно. 


Итак, если EAX не равен 1, то JNE заставит СРО перейти по адресу указанном в 
операнде JNE, у нас это $. №2@та1п. Передав управление по этому адресу, СРО 
начнет исполнять вызов ргіпї# () с аргументом What уои entered? Huh?. Но 
если всё нормально, перехода не случится и исполнится другой printf() с 
двумя аргументами: 

'You entered %4...' и значением переменной х. 


Для того чтобы после этого вызова не исполнился сразу второй вызов ргіпі+ (), 
после него есть инструкция ЈМР, безусловный переход, который отправит про- 
цессор на место после второго printf() и перед инструкцией ХОВ EAX, EAX, 
которая реализует return 0. 


Итак, можно сказать, что в подавляющих случаях сравнение какой-либо пере- 
менной с чем-то другим происходит при помощи пары инструкций СМР и Јсс, 
где сс это condition code. СМР сравнивает два значения и выставляет флаги 
процессора”. Јсс проверяет нужные ему флаги и выполняет переход по ука- 
занному адресу (или не выполняет). 


Но на самом деле, как это не парадоксально поначалу звучит, СМР это почти 
то же самое что и инструкция SUB, которая отнимает числа одно от другого. 
Все арифметические инструкции также выставляют флаги в соответствии с 
результатом, не только СМР. Если мы сравним 1 и 1, отединицы отнимется еди- 
ница, получится 0, и выставится флаг ZF (zero flag), означающий, что послед- 
ний полученный результат был 0. Ни при каких других значениях EAX, флаг 
2Е не может быть выставлен, кроме тех, когда операнды равны друг другу. 
Инструкция JNE проверяет только флаг ZF, и совершает переход только если 
флаг не поднят. Фактически, JNE это синоним инструкции JNZ (Jump if Not Zero). 
Ассемблер транслирует обе инструкции в один и тот же опкод. Таким образом, 
можно СМР заменить на SUB и всё будет работать также, но разница в том, что 
SUB всё-таки испортит значение в первом операнде. СМР это SUB без сохране- 
ния результата, но изменяющая флаги. 


М$\С: x86: IDA 


Наверное, уже пора делать первые попытки анализа кода B IDA. Кстати, Hayn- 
нающим полезно компилировать в MSVC с ключом /Мр, что означает, что все 
эти стандартные функции не будут скомпонованы с исполняемым файлом, а 
будут импортироваться из файла MSVCR* . DLL. Так будет легче увидеть, где Ka- 
кая стандартная функция используется. 


Анализируя код в IDA, очень полезно делать пометки для себя (и других). Ha- 
пример, разбирая этот пример, мы сразу видим, что Ј№ срабатывает в случае 
ошибки. Можно навести курсор на эту метку, нажать «п» и переименовать мет- 
ку в «еггог». Ещё одну метку — в «ехії». Вот как у меня получилось в итоге: 


76См. также о флагах х86-процессора: wikipedia. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


118 


.text:00401000 main proc near 
. text :00401000 
.text:00401000 var 4 
.text:00401000 argc 
.text:00401000 argv 
.text:00401000 envp 
. text :00401000 


dword ptr —4 
dword ptr 8 
dword ptr ОСН 
dword ptr 10h 


.text:00401000 push ebp 

.text:00401001 mov ebp, esp 

. text: 00401003 push ecx 

. text :00401004 push offset Format ; "Enter Х:\п" 
. text :00401009 call ds:printf 

. text :0040100F add esp, 4 

.text:00401012 lea eax, [ebp+var 4] 
.text:00401015 push eax 

.text:00401016 push offset aD ; "%а" 

. text :0040101B call ds:scanf 

.text:00401021 add esp, 8 

.Техт: 00401024 стр еах, 1 

.Техт: 00401027 jnz short error 

. text: 00401029 mov ecx, [ебр+уаг 4] 
.Техт:0040102С push ecx 

.text:0040102D push offset aYou ; "You entered %d...\n" 
. text: 00401032 call ds:printf 

. text: 00401038 add esp, 8 

. text : 0040103B jmp short exit 


. text:0040103D 
.text:0040103D error: ; CODE XREF: main+27 


.text:0040103D push offset aWhat ; "What you entered? Huh?\n" 
. text: 00401042 call ds:printf 
. text: 00401048 add esp, 4 


. text :0040104B 
.text:0040104B exit: ; CODE XREF: main+3B 


. text :0040104B xor eax, eax 
.text:0040104D mov esp, ebp 
. text: 0040104F pop ebp 
.text:00401050 retn 


.text:00401050 main endp 


Так понимать код становится чуть легче. Впрочем, меру нужно знать во всем 
и комментировать каждую инструкцию не стоит. 


В IDA также можно скрывать части функций: нужно выделить скрываемую 
часть, нажать Ctrl-«-» на цифровой клавиатуре и ввести текст. 


Скроем две части и придумаем им названия: 


.1ехї:00401000 text segment para public 'СОрЕ' иѕе32 
. text :00401000 assume cs: text 

.text:00401000 ‚ога 401000h 

.text:00401000 ; ask for X 

.text:00401012 ; get X 

. text :00401024 cmp еах, 1 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
:00401050 _main 


.text 


00401027 


jnz short error 


00401029 ; print result 


0040103B 
0040103D 
0040103D error: 
0040103D 
00401042 
00401048 
0040104B 
0040104B exit: 
0040104B 
0040104D 
0040104F 
00401050 


jmp short exit 


; CODE XREF: _main+27 


push offset aWhat ; "What you entered? Huh?\n" 


call ds:printf 
add еѕр, 4 


; CODE XREF: _та1п+3В 
хог еах, еах 

тоу еѕр, ебр 

рор ebp 

retn 

endp 


Раскрывать скрытые части функций можно при помощи Ctrl-«+» на цифровой 
клавиатуре. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Нажав «пробел», мы увидим, как РА может представить функцию в виде гра- 


фа: 


; int _ cdecl паіп() 
_main proc near 


var_4= dword ptr -4 
argc= dword ptr 8 

агду= dword ptr BCh 
епор= dword ptr 18h 


ebp 
mov ebp, esp 

push ecx 

push offset Format ; "Enter X:\n" 
call ds:printf 

add esp, 4 

lea eax, [ebp+var_4] 

push eax 

push offset aD 
call ds:scanf 
add esp, 8 

cmp eax, 1 

j short error 


A9 
= 


ecx, [еһр+уак_Н] 
push ecx rror: ; “What you entered? Ниһ?\п" 
push offset aYou ; "You entered %d...\n" offset aWhat 

call ds:printf ds:printf 

esp, 8 esp, 4 

short exit 


main endp 


Рис. 1.18: Отображение функции в IDA в виде графа 


После каждого условного перехода видны две стрелки: зеленая и красная. Зе- 
леная ведет к тому блоку, который исполнится если переход сработает, а крас- 
ная — если не сработает. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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В этом режиме также можно сворачивать узлы и давать им названия («group 
nodes»). Сделаем это для трех блоков: 


; int _ cdecl паіп() 
_main proc near 


var_4= dword ptr -4 
argc= dword ptr 8 

argu= dword ptr BCh 
епур= dword ptr 18h 


ebp 
mou ebp, esp 

push ecx 

push offset Format ; “Enter Xin" 
call ds:printf 

add esp, 4 

lea eax, [ebp+var_*4] 

push eax 

push offset aD з "%ч" 

call ds:scanf 
add esp, 8 

cmp eax, 1 

j short error 


ANU E) 


Рис. 1.19: Отображение в IDA в виде графа с тремя свернутыми блоками 


Всё это очень полезно делать. Вообще, очень важная часть работы реверсе- 
ра (да и любого исследователя) состоит в том, чтобы уменьшать количество 
имеющейся информации. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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MSVC: x86 + OllyDbg 


Попробуем в OllyDbg немного хакнуть программу и сделать вид, что scanf() 
срабатывает всегда без ошибок. Когда в scanf () передается адрес локальной 
переменной, изначально в этой переменной находится некий мусор. В данном 
случае это 0х6Е494714: 


СРО - main геад, module ex3 


&MSUCR100.printf>] 


т mmmmmmm mN 


ото 


: [ЕВР-4] 


Я [5] 


Stack ГӨӨ42ЕБПӘ1=є+3З. I "Enter 9:8 
EAX=0042FED4 


атт 


9942ЕС1С 


ТЕРОЕЙӢЙ pa” 
айй@йййй 


Рис. 1.20: OllyDbg: передача адреса переменной в 5сап1() 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Когда ѕсапї#() запускается, вводим в консоли что-то непохожее на число, Ha- 
пример «asdasd». ѕсап#() заканчивается с 0 в EAX, что означает, что произо- 
шла ошибка. 


Вместе с этим мы можем посмотреть на локальную переменную в стеке — она 
не изменилась. Действительно, ведь что туда записала бы функция ѕсап?()? 
Она не делала ничего кроме возвращения нуля. Попробуем ещё немного «хак- 
нуть» нашу программу. Щелкнем правой кнопкой на ЕАХ, там, в числе опций, 
будет также «Set їо 1». Это нам и нужно. 


В EAX теперь 1, последующая проверка пройдет как надо, и printf() выведет 
значение переменной из стека. 


Запускаем (Е9) и видим в консоли следующее: 


Листинг 1.85: консоль 


Enter X: 
asdasd 
You entered 1850296084... 


Действительно, 1850296084 это десятичное представление числа в стеке (0х6Е494714)! 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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М$\УС: x86 + Нем 


Это ещё может быть и простым примером исправления исполняемого файла. 
Мы можем попробовать исправить его таким образом, что программа всегда 
будет выводить числа, вне зависимости от ввода. 


Исполняемый файл скомпилирован с импортированием функций из М5\/СВ* .DLL 
(т.е. с опцией /М0)'”, поэтому мы можем отыскать функцию main() в самом 
начале секции .text. Откроем исполняемый файл в Hiew, найдем самое начало 
секции .text (Enter, F8, F6, Enter, Enter). 


Мы увидим следующее: 


С: \Polygon\ollydbg\ex3.exe a32 РЕ .00491000 |Ніе 

. 00401000: ebp 
. 00491091: ебр,еѕр 
00401003: есх 
. 00491004: 
. 0904019909: printf 
.0040100F: 83C404 esp, 
.00401012: 8D45FC eax, [ebp] [-4] 
.00401015: 50 eax 
.00401016: 68 --B 
.0040101B: FF15 scanf 
.00401021: 83С408 esp, 
.00401024: 83F801 eax, 
.00401027: 7514 j --B 
.00401029: 8B4DFC ecx, [ebp][-4] 
.0040102С: 51 ecx 
.0040102D: 68 ;'You entered %d...' 
.00401032: FF15 
.00401038: 83С408 
.0040103B: EBQE 
.00401030: 68 
.00401042: FF15 
.00401048: 83C404 
.0040104В: 33С@ 
‚00401040: 8ВЕ5 esp,ebp 
.0049104Е: 5D ebp 
„00401050: СЗ . ЛААЛ ЖАА Ж-А. АА. АЛ 
„00401051: В840540000 

2FilBlk 


Рис. 1.21: Нем: функция main() 


Hiew находит А5С11278-строки и показывает их, также как и имена импортиру- 
емых функций. 


77то, что ещё называют «dynamic linking» 
78 А5СИ Zero (АЗС!-строка заканчивающаяся нулем ) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Переведите курсор на адрес . 00401027 (с инструкцией JNZ, которую мы хотим 
заблокировать), нажмите ЕЗ, затем наберите «9090» (что означает два МОР-а): 


С: \Polygon\ollydbg\ex3.exe ВЕИЮ EDITMODE a32 РЕ 00089 
00000400: 55 ebp 
00000401: 8ВЕС ebp,esp 
00000403: 51 ecx 
00000404: 68 ; @@ ' 
00000499: ЕЕ1594: а, [900402094] 
0000049Е: 83С404 езр, 
00000412: 8045ЕС еах, [ебр] [-4] 
00000415: 50 еах 
00000416: 68 ;’ 208' 
0000041В: FF158C: d , [90040208C] 
00000421: 83С408 esp, 
00000424: 83F801 eax, 
00000427: 90 
00000428: 90 
00000429: 8B4DFC ecx, [ebp][-4] 
00900042C: 51 ecx 
00000420: 68 ;’ @08' 
00000432: ЕЕ15 а, [900492094] 
00000438: 83С408 езр, 
00000438: ЕВӨЕ 
00000430: 68 ;' @0$' 
00000442: ЕЕ15 а, [900402094] 
00000448: 83с404 езр, 
00090044B: 33C0 eax,eax 
0000044D: 8ВЕ5 esp,ebp 
00000044F: 5р ebp 
00000450: СЗ лад 


Рис. 1.22: Нем: замена JNZ на два NOP-a 


Затем F9 (update). Теперь исполняемый файл записан на диск. Он будет вести 
себя так, как нам надо. 


Два МОР-а, возможно, не так эстетично, как могло бы быть. Другой способ изме- 
нить инструкцию это записать 0 во второй байт опкода (смещение перехода), 
так что JNZ всегда будет переходить на следующую инструкцию. 


Можно изменить и наоборот: первый байт заменить на ЕВ, второй байт (сме- 
щение перехода) не трогать. Получится всегда срабатывающий безусловный 
переход. Теперь сообщение об ошибке будет выдаваться всегда, даже если 
мы ввели число. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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MSVC: x64 


Так как здесь мы работаем с переменными типа int, а они в х86-64 остались 
32-битными, то мы здесь видим, как продолжают использоваться регистры с 
префиксом Е-. Но для работы с указателями, конечно, используются 64-битные 
части регистров с префиксом В-. 


Листинг 1.86: MSVC 2012 x64 


_БАТА SEGMENT 


$562924 ОВ 'Enter Х:', бан, оон 
$562926 ОВ '%4', ӨӨН 
$562927 ОВ 'Уои entered %а...', бан, ӨӨН 
$562929 ОВ 'What уои entered? Ниһ?', бан, ӨӨН 
_DATA ENDS 
_TEXT SEGMENT 
x$ = 32 
main PROC 
$LN5: 
sub rsp, 56 
lea rcx, OFFSET FLAT:$SG2924 ; 'Enter Х: ' 
call printf 
lea rdx, QWORD PTR x$[rsp] 
lea rcx, OFFSET FLAT:$SG2926 ; '%d' 
call scanf 
cmp eax, 1 
jne SHORT $LN2@main 
mov edx, DWORD PTR x$[rsp] 
lea rcx, OFFSET FLAT:$SG2927 ; 'You entered %4...' 
call printf 
jmp SHORT $LN1@main 
$LN2@main: 
lea rcx, OFFSET FLAT:$SG2929 ; 'What you entered? Huh?' 
call printf 
$LN1@main: 
; возврат 0 
хог еах, еах 
ааа rsp, 56 
геї 0 
main ENDP 
_TEXT ENDS 
END 
ARM 


АКМ: Оптимизирующий Keil 6/2013 (Режим Thumb) 


Листинг 1.87: Оптимизирующий Keil 6/2013 (Режим Thumb) 


маг 8 = -8 


PUSH {R3, LR} 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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ADR RO, aEnterX ; "Enter X:\n" 
BL _ 2printf 
MOV R1, SP 
ADR RO, aD ‚ "%d" 
BL _ Oscanf 
CMP RO, #1 
BEQ loc 1Е 
ADR RO, aWwhatYouEntered ; "What you entered? Huh?\n" 
BL _ 2printf 
loc_1A ; CODE XREF: main+26 
MOVS RO, #0 
POP {R3, PC} 
loc 1Е ; CODE XREF: main+12 
LDR R1, [SP,#8+var 8] 
ADR RO, aYouEnteredD___; "You entered %4...\п“ 
BL _ 2printf 
B loc_1A 


Здесь для нас есть новые инструкции: СМР n ВЕО”?. 


СМР аналогична той что в х86: она отнимает один аргумент от второго и сохра- 
няет флаги. 


ВЕО совершает переход по другому адресу, если операнды при сравнении бы- 
ли равны, либо если результат последнего вычисления был 0, либо если флаг 
2 равен 1. То же что и 37 в х86. 


Всё остальное просто: исполнение разветвляется на две ветки, затем они схо- 
дятся там, где в RO записывается 0 как возвращаемое из функции значение и 
происходит выход из функции. 


ARM64 
Листинг 1.88: Неоптимизирующий ССС 4.9.1 ARM64 

.LCO: 

„String "Enter X:" 
„ЕСТ: 

.Ѕігіпод "%а" 
.LC2: 

.string "You entered %d...\n" 
.LC3: 

.String "What you entered? Huh?" 
f6: 
; сохранить FP n LR в стековом фрейме: 

51р x29, x30, [5р, -32]! 
; установить стековый фрейм (ЕР=5Р) 

ааа x29, sp, 0 


; загрузить указатель на строку "Enter X:" 


79 (Ро\мегРС, ARM) Branch if Equal 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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айгр х0, .LCO 
ааа x0, x0, :1012:.1С0 
bl puts 
загрузить указатель на строку "%d": 
айгр x0, .LC1 
add x0, x0, :l012:.LC1 
вычислить адрес переменной X в локальном стеке 
ааа х1, х29, 28 
bl _ isoc99_ scanf 


; scanf () возвращает результат B WỌ. 


cmp 


проверяем ero: 


м0, 1 


BNE это Branch if Not Equal (переход, если не равно) 


; так что если М0<>1, произойдет переход на L2 


; В этот момент \09=1, 


bne 


-L2 


означая, что ошибки не было 


‚ загрузить значение х из локального стека 


1аг м1, [х29, 28] 
; загрузить указатель на строку "You entered %а. . .\п": 
айгр x0, .LC2 
add x0, x0, :1012:.1С2 
bl printf 
; пропустить код, печатающий строку "What you entered? Huh?": 
b L3 
„12 
; загрузить указатель на строку “What you entered? Huh?": 
айгр x0, .LC3 
add x0, x0, :1012:.1С3 
bl puts 
L3: 
; возврат 0 
mov w0, 0 
; восстановить FP n LR: 
1ар x29, x30, [sp], 32 
ret 


Исполнение здесь разветвляется, используя пару инструкций CMP/BNE (Branch 
if Not Equal: переход если не равно). 


MIPS 
Листинг 1.89: Оптимизирующий ССС 4.4.5 (IDA) 
.text:004006A0 main: 
. text : 004006А0 
.text:004006A0 var 18 = -0х18 
.text:004006A0 var 10 = -0x10 
.text:004006A0 var 4 = —4 
. text : 004006А0 
. text :004006A0 lui $gp, 0x42 
. text : 00400644 addiu $sp, -0x28 
. text : 004006А8 ti $gp, 0x418960 
. text :004006AC Sw $ra, 0x28+var_4($sp) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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‚техї:004006В0 
‚техї:004006В4 
‚техї:004006В8 
‚техї:004006ВС 
.text:004006C0 
. text :004006C4 
. text :004006C8 
. text :004006CC 
. text:004006D0 
. text :004006D4 
.Техт: 00400608 
‚техї:0040060С 
‚техї:004006Е0О 
. text :004006E4 
. text :004006E8 
. text:004006EC 
. text:004006F0 
. text :004006F4 
. text :004006F8 


Huh?" 
.text:004006FC 


.text:00400700 
. text :00400704 
.ехі: 00400708 


.Техт:0040070С 
‚техї:0040070С 
‚Техї:00400710 
‚Техї:00400714 
‚Техї:00400718 
.text:0040071C 


%d. ..\n" 
.Техт: 00400720 
. text :00400724 
. text :00400728 
. text :0040072C 


$gp, 0х28+уаг_18($5р) 


$t9, puts 

$a0, 0x40 

$t9 ; puts 

фаб, aEnterX # "Enter X:" 
$gp, 0x28+var_18($sp) 

$a0, 0x40 

$t9, _isoc99_ scanf 

$a0, aD # "а" 

$19 ; іѕос99 scanf 


$al, $5р, 0х28+үаг 10 # branch delay slot 
$v1, 1 

$gp, 0x28+var_18($sp) 

$v0, $v1, loc 40070С 

$at, $zero # branch delay slot, NOP 
$t9, puts 

$a0, 0x40 

$t9 ; puts 

фаб, aWwhatYouEntered # "What you entered? 


$ra, 0x28+var 4(%5р) 
$v0, $zero 

$ra 

$sp, 0x28 


$t9, printf 

$al, 0x28+var_10($sp) 

$a0, 0x40 

$t9 ; printf 

$a0, аҮоиЕпіегеар _ # "You entered 


$ra, 0x28+var_4($sp) 
$v0, $zero 

$ra 

$sp, 0x28 


scanf () возвращает результат своей работы в регистре $\0 и он проверяется 
по адресу 0х004006Е4 сравнивая значения в $\0 и $\1 (1 записан в $\1 ранее, 
на 0х0040060С). BEQ означает «Branch Equal» (переход если равно). Если значе- 
ния равны (т.е. в случае успеха), произойдет переход по адресу 0х0040070С. 


Упражнение 


Как мы можем увидеть, инструкцию ЈМЕ/Ј№ можно вполне заменить на JE/JZ 
или наоборот (или BNE на BEQ и наоборот). Но при этом ещё нужно переставить 
базовые блоки местами. Попробуйте сделать это в каком-нибудь примере. 


1.12.5. Упражнение 


e Пр: //сһа11епдеѕ. ге/53 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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1.13. Стоит отметить: глобальные и локальные пе- 


ременные 


Теперь вы знаете, что глобальные переменные обнуляются в началев ОС (1.12.3 
(стр. 105), [/5ОЛЕС 9899:ТСЗ (С C99 standard), (2007)6.7.8р10]), а локальные - 
нет (1.9.4 (стр. 51)). 


Иногда, у вас есть глобальная переменная, которую вы забыли проинициали- 
зировать, и исполнение вашей программы зависит от того факта, что в начале 
исполнения там ноль. Потом вы редактируете вашу программу и перемещае- 
те глобальную переменную внутрь ф-ции, делая её локальной. Она не будет 
более инициализироваться в ноль, и это может в итоге приводить к труднона- 
ходимым ошибкам. 


1.14. Доступ к переданным аргументам 


Как мы уже успели заметить, вызывающая функция передает аргументы для 
вызываемой через стек. А как вызываемая функция получает к ним доступ? 


Листинг 1.90: простой пример 


#include <stdio.h> 


int f (int a, int b, int c) 


{ 
return ажб+с; 

}; 

int та1п() 

{ 
printf ("%9\п", (1, 2, 3)); 
return 0; 

}; 


1.14.1. х86 
MSVC 
Рассмотрим пример, скомпилированный в (MSVC 2010 Express): 


Листинг 1.91: MSVC 2010 Express 


_ТЕХТ SEGMENT 


_а$ = 8 ; 51е = 4 
_b$ = 12 ; 51те = 4 
_с$ = 16 ; 51е = 4 
cf PROC 
push ebp 
mov ebp, esp 
mov eax, DWORD PTR _a$[ebp] 


imul eax, DWORD PTR  b$[ebp] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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ааа eax, DWORD РТВ _с$[ебр] 
рор ебр 
геї 0 
f ENDP 
_main PROC 
push ebp 
mov ebp, esp 
push 3 ; третий аргумент 
push 2 ; второй аргумент 
push 1 ; первый аргумент 
call f 
add esp, 12 
push eax 
push OFFSET $562463 ; '%0', дан, оон 
call _printf 
add esp, 8 
; возврат 0 
хог еах, еах 
рор ебр 
геї 0 
_таіп ЕМОР 


Итак, здесь видно: в функции та1п() заталкиваются три числа в стек и вызы- 
вается функция 
f(int,int,int). 


Внутри f () доступ к аргументам, также как и к локальным переменным, проис- 
ходит через макросы: _а$ = 8, но разница в том, что эти смещения со знаком 
плюс, таким образом если прибавить макрос _а$ к указателю на ЕВР, то адре- 
суется внешняя часть фрейма стека относительно ЕВР. 


Далее всё более-менее просто: значение а помещается в ЕАХ. Далее ЕАХ умно- 
жается при помощи инструкции ТМИЕ на то, что лежит в b, ив EAX остается 
произведение этих двух значений. 


Далее к регистру ЕАХ прибавляется то, что лежит в _с. 


Значение из ЕАХ никуда не нужно перекладывать, оно уже лежит где надо. 
Возвращаем управление вызывающей функции — она возьмет значение из ЕАХ 
и отправит его в printf(). 


MSVC + OllyDbg 


Проиллюстрируем всё это B OllyDbg. Когда мы протрассируем до первой nH- 
струкции в #(), которая использует какой-то из аргументов (первый), мы уви- 
дим, что ЕВР указывает на фрейм стека. Он выделен красным прямоугольни- 
ком. 


Самый первый элемент фрейма стека — это сохраненное значение ЕВР, затем 
ВА. Третий элемент это первый аргумент функции, затем второй аргумент и 
третий. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Для доступа к первому аргументу функции нужно прибавить к ЕВР 8 (2 32- 
битных слова). 


OllyDbg в курсе этого, так что он добавил комментарии к элементам стека Bpo- 
де «RETURN from» и «Агд1 = ...», ит. д. 


М.В.: аргументы функции являются членами фрейма стека вызывающей функ- 
ции, а не текущей. Поэтому OllyDbg отметил элементы «Arg» как члены другого 
фрейма стека. 


CPU - main геад, module ех 


МОО EBP, ESP r 

MOU EAX, DWORD PTR 35: 986.17 а. 
IMUL EAS, DWORD PTR SS: САКО. 21 ааоввот 
ADD EAX, DWORD PTR SS: LARG. 37 PEF DEO0O 


POP EBP ‹ 
@й4ЕЕП5С 
ТЫ @@4ЕЕП5С 


PUSH ЕВР 
МОУ ЕВР,Е5$Р 25 йй DALES 
PUSH 3 Я i ен.99201993 
PUSH 2 і EAr ИЕН D 

A св yit ØLFFFFFFFF) 
PACE 69201808 d › ØLFFFFFFFF) 
ADD ESP, ØC A G ‚1$ (ЕЕЕЕЕЕЕЕ) 
- - Е a% а В(ЕЕЕЕЕЕЕЕ) 
ЕАЙС6а1928в0 7 то п“ 


Рис. 1.23: OllyDbg: внутри функции #() 


ССС 
Скомпилируем то же в ССС 4.4.1 и посмотрим результат в IDA: 


Листинг 1.92: ССС 4.4.1 


public f 

f proc near 

arg 0 = dword ptr 8 

arg_4 = dword ріг ӨСһ 

arg_8 = dword ptr 10h 
push ebp 
mov ebp, esp 
mov eax, [ебр+агд_0] ; первый аргумент 
imul eax, [ebp+arg_4] ; второй аргумент 
add eax, [ebp+arg_8] ; третий аргумент 
рор ebp 
retn 

f endp 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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public main 


main proc near 
var_10 = dword ptr -10h 
var C = dword ptr —ӨСһ 
var 8 = dword ptr -8 
push ebp 
mov ebp, esp 
and esp, OFFFFFFFOh 
sub esp, 10h 
mov [esp+10h+var 8], 3 ; третий аргумент 
mov [esp+10h+var C], 2 ; второй аргумент 
mov [esp+10h+var_10], 1 ; первый аргумент 
call f 
mov edx, offset ар ; "%d\n" 
mov [esp+10h+var C], eax 
mov [esp+10h+var_10], edx 
call _printf 
mov eax, 0 
leave 
retn 
main endp 


Практически то же самое, если не считать мелких отличий описанных ранее. 


После вызова обоих функций указатель стека не возвращается назад, потому 
что предпоследняя инструкция LEAVE (.1.6 (стр. 1288)) делает это за один раз, 
в конце исполнения. 


1.14.2. х64 
В х86-64 всё немного иначе, здесь аргументы функции (4 или 6) передаются 
через регистры, а саЙее читает их из регистров, а не из стека. 
М$\УС 
Оптимизирующий MSVC: 
Листинг 1.93: Оптимизирующий MSVC 2012 x64 


$562997 DB '%4', бан, оон 

та1п PROC 
sub rsp, 40 
mov edx, 2 
lea r8d, QWORD PTR [rdx+1] ; R8D=3 
lea ecx, QWORD PTR [rdx-1] ; ECX=1 
call f 
lea rcx, OFFSET FLAT:$SG2997 ; '%d' 
mov edx, eax 
call printf 
xor eax, eax 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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ааа 
геї 
main ENDP 


f PROC 


; ECX - 
; EDX - 
; Ар - 


imul 

lea 

ret 
f ENDP 


rsp, 40 


первый аргумент 
второй аргумент 
третий аргумент 


ecx, edx 
eax, DWORD PTR [r8+rcx] 
0 


Как видно, очень компактная функция Т() берет аргументы прямо из pern- 


стров. 


Инструкция LEA используется здесь для сложения чисел. Должно быть компи- 
лятор посчитал, что это будет эффективнее использования ADD. 


В самой таіп() LEA также используется для подготовки первого и третьего 
аргумента: должно быть, компилятор решил, что LEA будет работать здесь 
быстрее, чем загрузка значения в регистр при помощи MOV. 


Попробуем посмотреть вывод неоптимизирующего MSVC: 


Листинг 1.94: MSVC 2012 x64 


ргос пеаг 


; область "shadow": 


аго_0 
arg_8 
arg_10 


main 


= dword 
dword 
dword 


; ЕСХ - 
; EDX- 
; Кр - 
mov 
mov 
mov 
mov 


ptr 8 

ptr 10h 

ptr 18h 

первый аргумент 
второй аргумент 
третий аргумент 
[rsp+arg_10], г8а 
[rsp+arg_8], edx 
[rsp+arg_0], ecx 
eax, [rsp+arg_0] 


imul eax, [rsp+arg_8] 

add eax, [rsp+arg_10] 

retn 

endp 

proc near 

sub rsp, 28h 

mov r8d, 3 ; третий аргумент 
mov edx, 2 ; второй аргумент 
mov ecx, 1 ; первый аргумент 
call f 

mov edx, eax 

lea rcx, $562931 ; "d\n" 
call printf 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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; возврат 0 
хог еах, еах 
ааа г5р, 28һ 
геїп 

main endp 


Немного путанее: все 3 аргумента из регистров зачем-то сохраняются B стеке. 


Это называется «shadow space» 8°: каждая функция в Win64 может (хотя и не 
обязана) сохранять значения 4-х регистров там. 


Это делается по крайней мере из-за двух причин: 1) в большой функции отве- 
сти целый регистр (а тем более 4 регистра) для входного аргумента слишком 
расточительно, так что к нему будет обращение через стек; 


2) отладчик всегда знает, где найти аргументы функции в момент останова si, 


Так что, какие-то большие функции могут сохранять входные аргументы B 
«shadow space» для использования в будущем, а небольшие функции, как Ha- 
ша, могут этого и не делать. 


Место в стеке для «shadow space» выделяет именно Caller. 


ССС 
Оптимизирующий ССС также делает понятный код: 


Листинг 1.95: Оптимизирующий ССС 4.4.6 x64 


fi 
; EDI - первый аргумент 
; ESI - второй аргумент 
; EDX - третий аргумент 
imul esi, edi 
lea eax, [rdx+rsi] 
ret 

main: 
sub rsp, 8 
mov edx, 3 
mov esi, 2 
mov edi, 1 
call f 
mov edi, OFFSET FLAT:.LCO ; "%d\n" 
mov esi, eax 
xor eax, eax ; количество переданных векторных регистров 
са11 printf 
xor eax, eax 
add rsp, 8 
ret 

80MSDN 
81 MSDN 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Неоптимизирующий ССС: 


Листинг 1.96: ССС 4.4.6 x64 


и 
; EDI - первый аргумент 
; ESI - второй аргумент 
; EDX - третий аргумент 
push rbp 
mov rbp, rsp 
mov DWORD PTR [rbp-4], edi 
mov DWORD PTR [rbp-8], esi 
mov DWORD PTR [rbp-12], edx 
mov eax, DWORD PTR [rbp-4] 
imul eax, DWORD РТА [rbp-8] 
add eax, DWORD PTR [rbp-12] 
leave 
ret 
main: 
push rbp 
mov rbp, rsp 
mov edx, 3 
mov esi, 2 
mov edi, 1 
call f 
mov edx, eax 
mov eax, OFFSET FLAT:.LCO ; "%d\n" 
mov esi, edx 
mov rdi, rax 
mov eax, Ө ; количество переданных векторных регистров 
са11 printf 
mov eax, 0 
leave 
ret 


В соглашении о вызовах System V *NIX ([Michael Matz, Jan Hubicka, Andreas Jaeger, 
Mark Mitchell, System V Application Binary Interface. AMD64 Architecture Processor 
Supplement, (2013)] 82) нет «shadow space», но callee тоже иногда должен CO- 
хранять где-то аргументы, потому что, опять же, регистров может и не хватить 
на все действия. Что мы здесь и видим. 


ССС: иіпї64 ї вместо int 


Наш пример работал с 32-битным тЁ, поэтому использовались 32-битные части 
регистров с префиксом Е-. 


Его можно немного переделать, чтобы он заработал с 64-битными значениями: 


#include <stdio.h> 
#include <stdint.h> 


82Также доступно здесь: https://software.intel.com/sites/default/files/article/402129/ 
mpx- linux64-abi.pdf 
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иіпіб4 t f (uint64 t a, uint64 t b, uint64 t с) 


{ 
return a*b+C; 
}; 
int main() 
{ 
printf ("%lld\n", f(0x1122334455667788, 
0x1111111122222222, 
0x3333333344444444) ) ; 
return 0; 
}; 
Листинг 1.97: Оптимизирующий ССС 4.4.6 x64 
f proc near 
imul rsi, rdi 
lea rax, [rdx+rsi] 
retn 
f endp 
main proc near 
sub rsp, 8 
mov rdx, 3333333344444444h ; третий аргумент 
mov rsi, 1111111122222222h ; второй аргумент 
mov rdi, 1122334455667788h ; первый аргумент 
call f 
mov edi, offset format ; "%lld\n" 
mov rsi, rax 
xor eax, eax ; количество переданных векторных регистров 
call _printf 
xor eax, eax 
add rsp, 8 
retn 
main endp 


Собственно, всё то же самое, только используются регистры целиком, C Npe- 
фиксом В-. 


1.14.3. АКМ 
Неоптимизирующий Кей 6/2013 (Режим ARM) 


.text:000000A4 00 30 Аб E1 MOV R3, RO 
.text:000000A8 93 21 20 E0 MLA КО, ВЗ, R1, R2 
.text:000000AC 1E FF 2F El BX LR 

. text :000000B0 main 

.text:000000B0 10 40 2D E9 STMFD SP!, {R4,LR} 
.text:000000B4 03 20 Аб E3 MOV R2, #3 
.text:000000B8 02 10 Аб E3 MOV R1, #2 
.text:000000BC 01 00 Аб E3 MOV RO, #1 
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.1ехї:000000С0 F7 FF FF ЕВ BL f 

.text:000000C4 00 40 Аб Е1 MOV R4, RO 

.text:000000C8 04 10 AO Е1 MOV R1, R4 

.text:000000CC 5A OF 8F E2 ADR RO, aD 0 > "%d\n" 
.text:000000D0 E3 18 00 EB BL _ 2printf 

.text:000000D4 00 00 Аб ЕЗ MOV RO, #0 

.text:000000D8 10 80 BD E8 LDMFD  5Р!, {R4,PC} 


В функции main () просто вызываются две функции, в первую (#()) передается 
три значения. Как уже было упомянуто, первые 4 значения в АВМ обычно пе- 
редаются в первых 4-х регистрах (КӨ-АЗ). Функция Т(), как видно, использует 
три первых регистра (В0-К2) как аргументы. 


Инструкция MLA (Multiply Accumulate) перемножает два первых операнда (R3 
и R1), прибавляет к произведению третий операнд (R2) и помещает результат 
в нулевой регистр (R0), через который, по стандарту, возвращаются значения 
функций. 


Умножение и сложение одновременно (Fused multiply-add) это часто применя- 
емая операция. Кстати, аналогичной инструкции в х86 не было до появления 
ЕМА-инструкций в SIMD 83. 


Самая первая инструкция MOV R3, RO, по-видимому, избыточна (можно было 
бы обойтись только одной инструкцией МІА). Компилятор не оптимизировал 
её, ведь, это компиляция без оптимизации. 


Инструкция ВХ возвращает управление по адресу, записанному в LR и, если 
нужно, переключает режимы процессора c Thumb на АКМ или наоборот. Это 
может быть необходимым потому, что, как мы видим, функции Т() неизвестно, 
из какого кода она будет вызываться, из ARM или Thumb. Поэтому, если она 
будет вызываться из кода Thumb, ВХ не только возвращает управление в Bbl- 
зывающую функцию, но также переключает процессор в режим Thumb. Либо 
не переключит, если функция вызывалась из кода для режима АВМ: [ААМ(А) 
Architecture Reference Manual, АВМУ7-А апа ARMv7-R edition, (2012)А2.3.2]. 


Оптимизирующий Keil 6/2013 (Режим ARM) 


. text : 00000098 f 
.text:00000098 91 20 20 ЕО MLA RO, R1, RO, R2 
.text:0000009C 1E FF 2F El BX LR 


А вот и функция f(), скомпилированная компилятором Keil в режиме полной 
оптимизации (-03). Инструкция MOV была оптимизирована: теперь MLA исполь- 
зует все входящие регистры и помещает результат в RO, где вызываемая функ- 
ция будет его читать и использовать. 


Оптимизирующий Кей! 6/2013 (Режим Thumb) 


83 ууікіреаіа 
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.1ехї:0000005Е 48 43 MULS RO, R1 
.text:00000060 80 18 ADDS RO, RO, R2 
.text:00000062 70 47 BX LR 


В режиме Thumb инструкция MLA недоступна, так что компилятору пришлось 
сгенерировать код, делающий обе операции по отдельности. 


Первая инструкция MULS умножает RO на R1, оставляя результат в RO. Вторая 
(ADDS) складывает результат и R2, оставляя результат в RO. 

АКМ64 

Оптимизирующий ССС (Linaro) 4.9 

Тут всё просто. MADD это просто инструкция, производящая умножение и CNO- 
жение одновременно (как MLA, которую мы уже видели). Все 3 аргумента nepe- 


даются в 32-битных частях Х-регистров. Действительно, типы аргументов это 
32-битные /пёы. Результат возвращается в WO. 


Листинг 1.98: Оптимизирующий ССС (Linaro) 4.9 


f: 
madd w0, м0, м1, w2 
ret 
main: 
; сохранить FP n LR в стековом фрейме: 
stp x29, x30, [sp, -16]! 
mov w2, 3 
mov м1, 2 
add x29, sp, 0 
mov м0, 1 
bl f 
mov wl, м0 
adrp x0, .LC7 
add х0, x0, :1012:.1С7 
bl printf 
; возврат 0 
mov w0, 0 
; восстановить FP n LR 
1ар x29, x30, [sp], 16 
ret 
.LC7: 


„String "%d\n" 


Также расширим все типы данных до 64-битных иіпїб4 t и попробуем: 


#include <stdio.h> 
#include <stdint.h> 


uint64 t f (uint64 t a, uint64 t b, uint64 t c) 
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{ 
return ажб+с; 
}; 
int main() 
{ 
printf ("%lld\n", #(0х1122334455667788, 
0x1111111122222222, 
0х3333333344444444) ); 
return 0; 
}; 
т: 
пааа x0, х0, х1, х2 
геї 
main: 
mov x1, 13396 
adrp x0, .LC8 
stp x29, x30, [sp, -16]! 
movk x1, 0x27d0, lsl 16 
add x0, x0, :l012:.LC8 
movk x1, 0x122, lsl 32 
add x29, sp, 0 
movk x1, 0x58be, lsl 48 
bl printf 
mov м0, 0 
1ар x29, x30, [sp], 16 
ret 
.LC8: 


„string "%lld\n" 


Функция f() точно такая же, только теперь используются полные части 64- 
битных Х-регистров. Длинные 64-битные значения загружаются в регистры по 
частям, это описано здесь: 1.39.3 (стр. 567). 


Неоптимизирующий ССС (Linaro) 4.9 


Неоптимизирующий компилятор выдает немного лишнего кода: 


f: 


sub sp, sp, #16 
str w0, [5р,12] 
str wl, [sp,8] 
str м2, [5р,4] 


ldr м1, [5р,12] 
ldr w0, [sp,8] 


mul wl, м1, м0 
ldr мо, [sp,4] 
add w0, м1, м0 
ааа sp, sp, 16 
ret 
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Код сохраняет входные аргументы в локальном стеке на случай если кому-то 
(или чему-то) в этой функции понадобится использовать регистры WO. ..\2, ne- 
резаписывая оригинальные аргументы функции, которые могут понадобится 
в будущем. Это называется Register Save Area. [Procedure Са! Standard for the 
ARM 64-bit Architecture (AArch64), (2013)]8*. Вызываемая функция не обязана 
сохранять их. Это то же что и «Shadow Space»: 1.14.2 (стр. 135). 


Почему оптимизирующий ССС 4.9 убрал этот, сохраняющий аргументы, код? 


Потому что он провел дополнительную работу по оптимизации и сделал вывод, 
что аргументы функции не понадобятся в будущем и регистры WO. ..W2 также 
не будут использоваться. 


Также мы видим пару инструкций MUL/ADD вместо одной MADD. 


1.14.4. MIPS 


Листинг 1.99: Оптимизирующий ССС 4.4.5 


.text:00000000 f: 


; $a0=a 

; $al=b 

; $а2=с 

.text:00000000 mult $al, $а0 

. text :00000004 mflo $\0 

. text : 00000008 jr $ra 

. text :0000000C addu $у0, $a2, $\%0 ; branch delay slot 


; результат в $\0 во время выхода 
.text:00000010 main: 
.Техт: 00000010 


.{ех{:00000010 маг 10 = -0x10 

.text:00000010 var 4 = -4 

.1ехї:00000010 

.Техі: 00000010 lui $gp, (_gnu_local_gp >> 16) 
. text: 00000014 addiu $5р, -0x20 

. text: 00000018 la $gp, (gnu 1оса1 др & ӨХЕЕЕЕ) 
.text:0000001C Sw $ra, 0x20+var_4($sp) 

. text :00000020 Sw $gp, 0x20+var_10($sp) 

; установить C: 

. text : 00000024 li $a2, 3 

; установить а: 

. text : 00000028 li $a0, 1 

. text :0000002C jal f 

; установить D: 

.Техт:00000030 11 $а1, 2 ; branch delay slot 
; результат сейчас в $\0 

. text : 00000034 lw $gp, 0x20+var_10($sp) 

. text : 00000038 lui $a0, ($1С0 >> 16) 

. text :0000003C 1м $19, (printf & ӨхҒЕЕЕ) ($9р) 
.1ехї:00000040 1а $аб, ($1С0 & ОхЕЕЕР) 

. text: 00000044 jalr $t9 


84Также доступно здесь: http://infocenter.arm.com/help/topic/com.arm.doc.ihi0055b/ 
IHI0055B_aapcs64.pdf 
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; взять результат ф-ции Т() и передать его 

; как второй аргумент в printf(): 

. text: 00000048 move $al, $\0 ; branch delay slot 
. text : 0000004C lw $ra, 0x20+var_4($sp) 

. text :00000050 move $\0, $zero 

. text: 00000054 jr $ra 

.text:00000058 addiu $sp, 0x20 ; branch delay slot 


Первые 4 аргумента функции передаются в четырех регистрах с префиксами 


B MIPS есть два специальных регистра: НІ и LO, которые выставляются в 64- 
битный результат умножения во время исполнения инструкции MULT. 


К регистрам можно обращаться только используя инструкции МЕГО и МЕНТ. Здесь 
МЕТ 0 берет младшую часть результата умножения и записывает в $\/0. Так что 
старшая 32-битная часть результата игнорируется (содержимое регистра Н! 
не используется). Действительно, мы ведь работаем с 32-битным типом int. 


И наконец, ADDU («Ааа Unsigned» — добавить беззнаковое) прибавляет значе- 
ние третьего аргумента к результату. 


В MIPS есть две разных инструкции сложения: ADD и ADDU. На самом деле, де- 
ло не в знаковых числах, а в исключениях: ADD может вызвать исключение во 
время переполнения. Это иногда полезно? и поддерживается, например, в ЯП 
Ада. 


ADDU не вызывает исключения во время переполнения. А так как Си/Си++не 
поддерживает всё это, мы видим здесь ADDU вместо ADD. 


32-битный результат оставляется в $\0. 


В та1п() есть новая для нас инструкция: JAL («Jump апа Link»). Разница между 
JAL и ЗАЁВ в том, что относительное смещение кодируется в первой инструк- 
ции, а JALR переходит по абсолютному адресу, записанному в регистр («Jump 
апа Link Register»). 


Обе функции f() и main() расположены в одном объектном файле, так что 
относительный адрес #() известен и фиксирован. 


1.15. Еще о возвращаемых результатах 


Результат выполнения функции в х86 обычно возвращается 86 через регистр 
ЕАХ, а если результат имеет тип байт или символ (сһаг), то в самой младшей 
части EAX — AL. Если функция возвращает число с плавающей запятой, то 6y- 
дет использован регистр FPU ST(0). В ААМ обычно результат возвращается в 
регистре RO. 


85 Пр: //6109. гедеһг.огд/агсһіуеѕ/1154 
86См. также: MSDN: Return Values (С++): MSDN 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


143 
1.15.1. Попытка использовать результат функции возвраща- 
ющей void 


Кстати, что будет, если возвращаемое значение в функции та1п() объявлять 
не как int, а как void? Т.н. 5аКир-код вызывает паіп() примерно так: 


push епур 
push argv 
push argc 
call main 
push eax 
call exit 


Иными словами: 


ехії (таіп (агас, агд\ ,‚ епур)); 


Если вы объявите паіп() как void, и ничего не будете возвращать явно (при 
помощи выражения return), то в единственный аргумент ех®() попадет то, что 
лежало в регистре EAX на момент выхода из main(). Там, скорее всего, будет 
какие-то случайное число, оставшееся от работы вашей функции. Так что код 
завершения программы будет псевдослучайным. 


Мы можем это проиллюстрировать. Заметьте, что у функции та1п() тип воз- 
вращаемого значения именно void: 


#include <stdio.h> 


void main() 


{ 
}; 


printf ("Hello, world!\n"); 


Скомпилируем B Linux. 


GCC 4.8.1 заменила printf () Ha puts () (мы видели это прежде: 1.5.3 (стр. 28)), 
но это нормально, потому что puts () возвращает количество выведенных CNM- 
волов, так же как и printf (). Обратите внимание на то, что EAX не обнуляется 
перед выходом из та1п(). Это значит что EAX перед выходом из та1п() содер- 
жит то, что puts () оставляет там. 


Листинг 1.100: ССС 4.8.1 


. ЕСО: 

.string "Hello, world!" 
main: 

push ebp 

mov ebp, esp 

and esp, -16 

sub esp, 16 

mov DWORD PTR [esp], OFFSET FLAT: .LCO 

call puts 

leave 

ret 
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Напишем небольшой скрипт на bash, показывающий статус возврата («exit 
status» или «exit code»): 


Листинг 1.101: tst.sh 


#!/bin/sh 
./hello_world 
echo $? 


И запустим: 


$ tst.sh 
Hello, world! 
14 


14 это как раз количество выведенных символов. Количество выведенных CNM- 
волов проскальзывает из printf() через ЕАХ/ВАХ в «exit code». 


Кстати, когда в Нех-Вау$ мы разбираем С++ код, нередко можно наткнуться 
на ф-цию, которая заканчивается деструктором какого-либо класса: 


call ??1CString@@QAE@XZ ; CString::~CString(void) 


mov ecx, [esp+30h+var C] 
pop edi 

pop ebx 

mov large fs:0, ecx 

add esp, 28h 

retn 


По стандарту C++ деструкторы ничего не возвращают, но когда Hex-Rays об 
этом не знает и думает, что и деструктор и эта ф-ция по умолчанию возвраща- 
ет int, то на выходе получается такой код: 


return CString: :~CString(&Str); 


1.15.2. Что если не использовать результат функции? 


printf () возвращает количество успешно выведенных символов, но результат 
работы этой функции редко используется на практике. 


Можно даже явно вызывать функции, чей смысл именно в возвращаемых зна- 
чениях, но явно не использовать их: 


int #() 

{ 
// пропускаем первые 3 случайных значения: 
гапа (); 
гапа(); 
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rand(); 
// и используем 4-е: 
return гапа(); 


}; 


Результат работы гапа() остается в ЕАХ во всех четырех случаях. Но в первых 
трех случаях значение, лежащее в ЕАХ, просто не используется. 


1.15.3. Возврат структуры 


Вернемся к тому факту, что возвращаемое значение остается в регистре ЕАХ. 
Вот почему старые компиляторы Си не способны создавать функции, возвра- 
щающие нечто большее, нежели помещается в один регистр (обычно тип int), 
а когда нужно, приходится возвращать через указатели, указываемые в аргу- 
ментах. Так что, как правило, если функция должна вернуть несколько значе- 
ний, она возвращает только одно, а остальные — через указатели. Хотя позже 
и стало возможным, вернуть, скажем, целую структуру, но этот метод до сих 
пор не очень популярен. Если функция должна вернуть структуру, вызываю- 
щая функция должна сама, скрыто и прозрачно для программиста, выделить 
место и передать указатель на него в качестве первого аргумента. Это почти 
то же самое что и сделать это вручную, но компилятор прячет это. 


Небольшой пример: 


struct s 
{ 
int a; 
int b; 
int с; 
}; 
struct s get_some values (int a) 
{ 
struct s rt; 
rt.a=a+1; 
rt.b=a+2; 
rt.c=a+3; 
return rt; 
}; 


...получим (MSVC 2010 /0х): 


$73853 = 8 ; 5176 = 4 
_а$ = 12 ; 5176 = 4 
?get_some_ values@@QYA?AUs@@H@Z PROC ; get_some values 


mov ecx, DWORD PTR _a$[esp-4] 
mov eax, DWORD РТА $T3853[esp-4] 
lea edx, DWORD PTR [ecx+1] 

mov DWORD PTR [eax], edx 

lea edx, DWORD PTR [ecx+2] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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ааа есх, 3 
тоу DWORD РТА [еах+4], едх 
тоу DWORD РТВ [eax+8], ecx 
ret 0 
?get_some values@@QYA?AUs@@H@Z ЕМОР ; get_some values 


$T3853 это имя внутреннего макроса для передачи указателя на структуру. 


Этот пример можно даже переписать, используя расширения С99: 


struct s 
{ 
int a; 
int b; 
int с; 
}; 
struct s деї ѕоте values (int а) 
{ 
return (struct s){.a=a+1, .b=a+2, .c=a+3}; 
}; 


Листинг 1.102: ССС 4.8.1 
_деї ѕоте values proc near 


ptr_to_struct = dword ptr 4 

a = dword ptr 8 
mov edx, [esp+a] 
mov eax, [esp+ptr_to_struct] 
lea ecx, [edx+1] 
mov [eax], ecx 
lea ecx, [edx+2] 
add edx, 3 
mov [eax+4], ecx 
mov [eax+8], edx 
retn 


_get_some_values endp 


Как видно, функция просто заполняет поля в структуре, выделенной вызыва- 
ющей функцией. Как если бы передавался просто указатель на структуру. Так 
что никаких проблем с эффективностью нет. 


1.16. Указатели 


1.16.1. Возврат значений 


Указатели также часто используются для возврата значений из функции (вспом- 
ните случай со ѕсап#() (1.12 (стр. 89))). 


Например, когда функции нужно вернуть сразу два значения. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Пример с глобальными переменными 


#include <stdio.h> 


void f1 (int x, int y, int жѕит, int жргоаисї) 
{ 

*SUM=X+y ; 

жргоаисї=хжу; 
}; 


int sum, product; 
void main() 
f1(123, 456, &sum, &product); 


printf ("sum=%d, product=%d\n", sum, product); 
}; 


Это компилируется в: 


Листинг 1.103: Оптимизирующий MSVC 2010 (/050) 


СОММ _ product : ОМОВАЮО 
СОММ _ им: DWORD 
$562803 ОВ 'sum=%d, ргоаисі=%а', бан, ӨӨН 
_х$ = 8 ; size = 4 
_у$ = 12 ; 51те = 4 
_sum$ = 16 ; 51те = 4 
_product$ = 20 ; 5і7е = 4 
_ 11 PROC 
mov ecx, DWORD PTR _y$[esp-4] 
mov eax, DWORD PTR _x$[esp-4] 
lea edx, DWORD PTR [eax+ecx] 
imul eax, ecx 
mov ecx, DWORD PTR product$[esp-4] 
push esi 
mov esi, DWORD РТВ sum$[esp] 
mov DWORD PTR [esi], edx 
mov DWORD PTR [ecx], eax 
pop esi 
ret 0 
_11 ЕМОР 
_таіп PROC 
push OFFSET product 
push OFFSET sum 
push 456 ; 000001c8H 
push 123 ; 0000007bH 
call _ 11 
mov eax, DWORD PTR product 
mov ecx, DWORD PTR sum 
push eax 
push ecx 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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риѕћ OFFSET $562803 
call DWORD РТА _imp_ printf 


add esp, 28 
xor eax, eax 
ret 0 

_таіп  ЕМОР 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


149 


Посмотрим это в OllyDbg: 


СРО - main thread, module global 


PUSH OFFSET 00873388 
PUSH ЕЕ 00873384 


В = 6Е494714 ASCII "Н(Е” 

ES СЯЕЕЕЕЕЕ |CALL 80871000 ен 

A1 58328700 |М00 ЕЯХ, ОШОВО РТВ 03: [8733881 СР базове 

3890 84338781 МОУ ECX, DWORD PTR 05: [8733841 9939Е92С 

58 PUSH EAX ; 1 09099001 

51 PUSH ECX <: ДЕРІ 98873398 global. й 

68 вазазтай |PUSH OFFSET 80873088 с А 

ЕЕ15 НИРИ8Р0! CALL DWORD PTR DS:[<&MSUCR100.printf>] EIP 08871028 alobal. 08087102A 

s324 1С ВОО ESP, 1C з Sbit OLFFFFFFFF) 

XOR EAX, EAX Біт В(ЕЕЕЕЕЕЕЕ) 

RETN bit ØLFFFFFFFF) 

bit ØLFFFFFFFF) 

bit 7ЕЕО00898(ЕЕЕ) 
ØLFFFFFFFF) 


Йй! я A 


Stack [90302518105 
Тим=888881С8 (decimal 


== ыр" 


Ө тм 
HIF hNF 


Рис. 1.24: OllyDbg: передаются адреса двух глобальных переменных в f1() 


В начале адреса обоих глобальных переменных передаются в 11(). Можно Ha- 
жать «Follow п dump» на элементе стека и в окне слева увидим место в Cer- 
менте данных, выделенное для двух переменных. 


Эти переменные обнулены, потому что по стандарту неинициализированные 
данные (BSS) обнуляются перед началом исполнения: [ISO/IEC 9899:ТСЗ (С C99 
standard), (2007)6.7.8р10]. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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И они находятся в сегменте данных, о чем можно удостовериться, нажав АЁ-М 
и увидев карту памяти: 


Метогу тар 


Address 

00050000 
00060000 
00070000 
00159000 
00300009 
BOZEG 
00460009 
00490000 
0660000 
00870000 
00871000 
008720009 


00873000 
00874000 
БЕЗЕВ ВАЙ 
6ЕЗЕ! 898 
6E493000 
6E499000 
6E49A00A 
75500000 
75501000 
75504000 
75505000 
т755ЕЙӢЙӢ 
755E1000 
7562E000 
75633000 


Size 

90004888 
00001000 
90067000 
00007000 
00001000 
00002000 
90005000 
ра] 
220201] 
90001008 
90081008 
00001000 
00001000 
90001000 
90001090 
@ййв2ййй 
@айййЄєййй 
90001000 
90005000 
90001000 
00003000 
90001000 
00003000 
90001000 
90040000 
@ййй5ййй 
00009000 


global 
global 
global 
global 
global 
MSUCR100 
MSUCR100 
MSUCR100 
MSUCR100 
MSUCR100 
Mod_755D 


Mod_755E 


„text 
„data 
„data 
.геіос 


„test 
„data 
Sre 
„reloc 


Contains 


Stack of main thread 
Heap 


Default heap 
PE header 


Ве locat ions 

PE header 

Code, imports, exports 
Data 

Resources 

Ве locat ions 

PE header 


PE header 


bat t TTF aE a 
тета € 


Gua 


о 
= 
ш 


т 


= 
2 
= 
т 
о 
о 

D 


= 
т 
о 
о 
о 
22 
= = 
тт 
оо 
оо 
оо 


DDDDDDDDDDDDDD 
m 


Рис. 1.25: OllyDbg: карта памяти 


С: п 9055 $$ ем32“ [06 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Трассируем (F7) до начала исполнения 11(): 


main thread, module global - ді x| 
Г А 


4624 Й D 55: [ARG. 
8B4424 МОУ EAX, DWORD РТВ SS:[ARG.1] 
LEA EDX, ГЕСХ+ЕЯХ] 

IMUL EAX, ECX 

MOU ECX, DWORD РТВ 55: САКВ. 41 
PUSH ЕЅІ 

MOU ESI, DWORD PTR 55: ГАК. 37 
MOU DWORD PTR DS:[ESI], EDX 
MOU DWORD PTR DS:[ECX], EAX 


SCII "НЕЕ" 


аіоБа!. 


(ЕЕЕЕЕЕЕЕ) 
(ЕЕЕЕЕЕЕЕ) 
SH OFFSET 80873388 ЕЕ 

= - тЕЕООӢВаГЕЕЕ) 


Stack (003025Е01=00800168 (decimal 456.1 ЕЕ 
ЕСХ=6Е494714 (MSUCR100.__initenv) í 
Local call from 871031 О Err я ERR 


Е, ВЕ, М 


proć 


trehi 
(Е hNF 


Рис. 1.26: OllyDbg: начало работы f1() 


В стеке видны значения 456 (0х1С8) и 123 (0x7B), а также адреса двух глобаль- 
ных переменных. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Трассируем до конца 11 (). Мы видим в окне слева, как результаты вычисления 
появились в глобальных переменных: 


CPU - main thread, module global 101 х| 
г ЕУ 


884С24 MOU ECX, DWORD РТВ 55: [АВб.2] 
МОУ EAX, DWORD РТВ 55: ГАВб. 17 
LEA EDX, ГЕСХ+ЕЯХ] 

IMUL EAX, ECX 

МОУ ECX, DWORD РТВ SS:[ARG.4] 
PUSH ЕЗТ 

MOU ESI, DWORD РТВ 55: ГАВб. 31 
МОУ DWORD РТВ 05: [ЕТ 1, EDX 
MOU DWORD PTR 05: СЕСХЈ, EAX 
POP ESI 


у) 7) AnD 


‚ В(ЕЕЕЕЕЕЕЕ) 
it В(ЕРЕЕЕЕЕЕ) 
@(ЕЕЕЕЕЕЕЕ) 
@(ЕЕЕЕЕЕЕЕ) 
?ЕЕПОӘЙ@ (ЕРЕ) 

ØLFFFFFFFF) 


00873388 


Тор of stack (80302804 
ESI=global. 00872384 


тк ‹ 


п 
ю/Е5м//Е5 


RETURN from glob. 
ASCII "pNF” 


Рис. 1.27: OllyDbg: f1() заканчивает работу 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Теперь из глобальных переменных значения загружаются в регистры для пе- 
редачи в ргіпі+ (): 


СРО - main thread, module global 10| х] 


ІМТЭ 

PUSH OFFSET 00873388 

68 84338700 |PUSH OFFSET 00873384 

68 C9010000 |PUSH 1С8 

6A 7B PUSH 7B 

ЕЗ CAFFFFFF |CALL 00871000 

A1 22229700 |MOU EAX, DWORD PTR DS:[873388] 
звао ЕЕН MOU ECX, DWORD PTR 05: 9733841 
58 PUSH EAX 


51 PUSH ECX 

68 пазаатай |PUSH OFFSET 00873000 Ес а ES іє Ө(ЕЕЕЕЕЕЕЕ) 
FF15 ВВ208201 CALL DWORD PTR DS:[<&MSUCR100.printf>] |с JES it ӨГЕЕЕЕЕЕЕЕ) 
8264 1С ADD ESP, 1C С ЕЕЕЕЕЕЕЕ) 
3268 ХОБ EAX, EAX (ЕЕЕЕЕЕЕЕ} 
ВЕТ ТЕРООВВВ(ЕЕЕ) 
В(РЕРЕРЕЕЕ) 


Stack Г20ЗОЕВОВ1=15651. 00871036 
EAX-0000DB1S (decimal 56088.) 


ФГ о 


RETURN from glob. 
ASCII ”pNF” 


па йй па йй йай йй йй 
па пя пя пя пя пя пя пя AA йй йй пя 


Рис. 1.28: OllyDbg: адреса глобальных переменных передаются в рг1пїї() 


Пример с локальными переменными 
Немного переделаем пример: 


Листинг 1.104: теперь переменные локальные 


void та1п() 


{ 
int sum, product; // теперь эти переменные для этой ф-ции -- - 
локальные 
11(123, 456, &ѕит, &product); 
printf ("sum=%d, ргоаисі=%а\ п", sum, product); 
}; 


Код функции ?1() не изменится. Изменится только main(): 


Листинг 1.105: Оптимизирующий М5\С 2010 (/Ob0) 


_product$ = -8 ; size = 4 

_5ит$ = -4 ; size = 4 

_main PROC 

; Line 10 
sub esp, 8 

; Line 13 
lea eax, DWORD PTR product$[esp+8] 
push eax 
lea ecx, DWORD PTR sum$[esp+12] 
push ecx 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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push 
push 
call 
; Line 14 
mov 
mov 
push 
push 
push 
call 
; Line 15 
xor 
add 
ret 


456 ; 000001c8H 
123 ; 0000007bH 
_f1 


edx, DWORD PTR _product$[esp+24] 
eax, DWORD PTR _sum$[esp+24] 

edx 

eax 

OFFSET $562803 

DWORD РТА _imp_ printf 


eax, eax 
esp, 36 
0 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Снова посмотрим в OllyDbg. Адреса локальных переменных в стеке это 0х2ЕЕ854 
и 0х2ЕЕ858. Видно, как они заталкиваются в стек: 


> 082ЕРЗ98 
80008001 


@(ЕЕЕЕЕЕЕЕ) 
В(ЕЕЕЕЕЕЕЕ) 
?ЕРООЯВВ( FFF) 


Stack LOOZEF84C 2 it ФЕ 
ЕЯХ=892ЕЁ 858 t В(ЕЕРЕРЕРЕЕ) 


4 ЙА 88 01 
ЕЕ РЕ РЕ ЕЁ FF FF РЕ 


Рис. 1.29: OllyDbg: адреса локальных переменных заталкиваются в стек 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Начало работы ?1(). В стеке по адресам 0x2EF854 и 0х2ЕЕ858 пока находится 
случайный мусор: 


CPU - тат thread, module local = х| 
oS g a 


MOU EDX, PTR 55: ‚2 

MOY EAX, DWORD PTR 55:[НЕб.31 

PUSH ЕЗТ 

MOU ESI, DWORD РТВ SS:[ARG.1] 
Е ЕОХ+Е$1 1 


МОУ EAX, DWORD РТВ 55: [АВб. 4] 
MOU DWORD РТВ 05: СЕЯХЈ,ЕЅІ 


нч Dy 
отн 


(ЕЕЕЕЕЕЕЕ) 
В(ЕЕЕЕЕЕЕЕ) 

t РЕЕООВВВ( ЕЕ) 

t ØLFFFFFFFF) 


$ 

Stack [992ЕР8481=88 
ЕОХ=В 

Local call from 8761833 


@ 


[Басар экен сиң тегтн ы и еы д 


л" Д", 
3 ) 30 4 а F 64| 75 
4 ӨҢ йй 91 z] @ 
FE РЕ FF РЕ| ЕЁ FF FF FF 


Рис. 1.30: OllyDbg: f1() начинает работу 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Конец работы 11(): 


EIP 9996181В loc 0A611018 

C ES 00 yit В(РЕЕЕЕЕЕЕ) 
В(ЕЕЕЕЕЕЕЕ) 
В(ЕЕЕЕЕЕЕЕ) 

Е М _ ØLFFFFFFFF) 

=m т Ё = 50 yit Т7ЕЕППӘЙЙ(ЕРЕ) 
Тор of stack [982ЕР33С1=1 А © ‹ А 
ESI=0000DB18 (decimal 56988. ) Жы В(РРЕРЕРЕР) 


LastErr 990 


Address [Нен dump о и мы 
AA 73 0] 25 д 78 72 ӨЕ 4 го 


й | 


Е РЕ FF ЕЕ ЕЁ FF FF FF 


Рис. 1.31: OllyDbg: #1() заканчивает работу 


В стеке по адресам 0x2EF854 и 0х2ЕЕ858 теперь находятся значения ӨхОВ18 и 
0x243, это результаты работы 11(). 
Вывод 


11() может одинаково хорошо возвращать результаты работы в любые места 
памяти. В этом суть и удобство указателей. Кстати, references в Си++работают 
точно так же. Читайте больше об этом: (3.19.3 (стр. 712)). 


1.16.2. Обменять входные значения друг с другом 


Вот так: 


#include <тетогу.һ> 
#include <stdio.h> 


void swap_bytes (unsigned charx first, unsigned сһагж second) 
{ 
unsigned char tmpl; 
unsigned char tmp2; 


tmpl=*first; 
tmp2=*xsecond; 


xfirst=tmp2; 
xsecond=tmp1; 


}; 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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int main() 
{ 
// копируем строку в кучу, чтобы у нас была возможность эту самую 
строку модифицировать 
char »s=strdup("string"); 


// меняем 2-й и 3-й символы 
swap_bytes (5+1, 5+2); 


printf ("%5\п", s); 
}; 


Как видим, байты загружаются в младшие 8-битные части регистров ЕСХ и ЕВХ 
используя МО\7Х (так что старшие части регистров очищаются), затем байты 
записываются назад в другом порядке. 


Листинг 1.106: Optimizing ССС 5.4 


ѕмар буїеѕ: 
push ebx 
mov edx, DWORD PTR [esp+8] 
mov eax, DWORD PTR [esp+12] 


тоу2х ecx, BYTE РТВ [edx] 
тоу2х ерх, BYTE РТВ [eax] 


тоу BYTE РТВ [edx], bl 
mov BYTE PTR [eax], cl 
pop ebx 

ret 


Адреса обоих байтов берутся из аргументов и во время исполнения ф-ции Ha- 
ходятся в регистрах EDX и EAX. 


Так что используем указатели — вероятно, без них нет способа решить эту 
задачу лучше. 


1.17. Оператор СОТО 


Оператор СОТО считается анти-паттерном, см: [Edgar Dijkstra, Со То Statement 
Considered Harmful (1968) |. Но тем не менее, его можно использовать в разум- 
ных пределах, см: [Donald Е. Knuth, Structured Programming with до to Statements 
(1974)88] 8°. 


Вот простейший пример: 


#include <stdio.h> 


int main() 


{ 


87http://yurichev.com/mirrors/Dijkstra68.pdf 
88http://yurichev.com/mirrors/KnuthStructuredProgrammingGoTo. pdf 
89B [Денис Юричев, Заметки о языке программирования Си/Си++] также есть примеры. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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printf ("begin\n"); 
goto exit; 
printf ("skip me!\n"); 
exit: 
printf ("end\n"); 
}; 


Вот что мы получаем в MSVC 2012: 


Листинг 1.107: MSVC 2012 


$562934 ОВ 'Бед1п', бан, Өөн 
$562936 ОВ 'skip ме!', бан, ӨӨН 
$562937 ОВ 'end', бан, ӨӨН 
_таіп PROC 
push ebp 
mov ebp, esp 
push OFFSET $562934 ; 'begin' 
call _printf 
add esp, 4 
jmp SHORT $exit$3 
push OFFSET $562936 ; 'skip те!‘ 
call _printf 
add esp, 4 
$exit$3: 
push OFFSET $562937 ; 'end' 
call _printf 
add esp, 4 
xor eax, eax 
pop ebp 
ret 0 
_таіп ЕМОР 


Выражение goto заменяется инструкцией JMP, которая работает точно также: 
безусловный переход в другое место. Вызов второго printf() может испол- 
нится только при помощи человеческого вмешательства, используя отладчик 
или модифицирование кода. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Это также может быть простым упражнением на модификацию кода. 


Откроем исполняемый файл в Нем: 


Нем: доѓо.ехе 


Рис. 1.32: Нем 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Поместите курсор по адресу JMP (0x410), нажмите ЕЗ (редактирование), нажми- 
те два нуля, так что опкод становится ЕВ 00: 


Нем: доёо.ехе | 


Рис. 1.33: Нем 


Второй байт опкода JMP это относительное смещение от перехода. 0 означает 
место прямо после текущей инструкции. Теперь JMP не будет пропускать cne- 
дующий вызов рг1п{Т(). Нажмите F9 (запись) и выйдите. Теперь мы запускаем 
исполняемый файл и видим это: 


Листинг 1.108: Результат 


С:\...>доїо.ехе 


begin 
skip me! 
end 


Подобного же эффекта можно достичь, если заменить инструкцию JMP на две 
инструкции NOP. МОР имеет опкод 0x90 и длину в 1 байт, так что нужно 2 ин- 
струкции для замены. 


1.17.1. Мертвый код 


Вызов второго printf() также называется «мертвым кодом» («dead code») в 
терминах компиляторов. Это значит, что он никогда не будет исполнен. Так 
что если вы компилируете этот пример с оптимизацией, компилятор удаляет 
«мертвый код» не оставляя следа: 


Листинг 1.109: Оптимизирующий MSVC 2012 


|$562981 ОВ 'begin', бан, 00H 
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$562983 DB 'skip ме!', бан, ӨӨН 
$562984 ОВ "епа', бан, ӨӨН 
_таіп PROC 
push OFFSET $562981 ; 'begin' 
call _printf 
push OFFSET $562984 ; 'end' 
$exit$4: 
call _printf 
add esp, 8 
xor eax, eax 
ret 0 
_таіп  ЕМОР 


Впрочем, строку «skip те!» компилятор убрать забыл. 


1.17.2. Упражнение 


Попробуйте добиться того же самого в вашем любимом компиляторе и отлад- 
чике. 


1.18. Условные переходы 


1.18.1. Простой пример 


#include <stdio.h> 


void f_signed (int a, int b) 


{ 
if (a>b) 
printf ("a>b\n"); 
if (a==b) 
printf ("a==b\n"); 
if (a<b) 
printf ("a<b\n"); 
$; 
void Т ипѕідпеа (unsigned int а, unsigned int b) 
{ 
if (a>b) 
printf ("a>b\n"); 
if (a==b) 
printf ("a==b\n"); 
if (a<b) 
printf ("a<b\n"); 
$; 
int main() 
{ 


f_signed(1, 2); 
f_unsigned(1, 2); 
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return 0; 


}; 


х86 
x86 + MSVC 


Имеем в итоге функцию f_signed(): 


Листинг 1.110: Неоптимизирующий MSVC 2010 


_а$ = 8 
_6$ = 12 
_Т ѕідпеа PROC 
push ebp 
mov ebp, esp 


mov eax, DWORD PTR _a$[ebp] 
cmp eax, DWORD PTR _b$[ebp] 
jle SHORT $LN3@f_signed 
push OFFSET $56737 ; 'a>b' 
call printf 
add esp, 4 
$LN3@f_signed: 
mov ecx, DWORD PTR _a$[ebp] 
cmp ecx, DWORD PTR _b$[ebp] 
jne SHORT $LN2@f_signed 
push OFFSET $56739 ‚ 'a==b' 
call printf 
add esp, 4 
$LN2@f_signed: 
mov edx, DWORD PTR _a$[ebp] 
cmp edx, DWORD PTR _b$[ebp] 
jge SHORT $LN4@f_ signed 
push OFFSET $56741 ; 'a<b' 
call printf 
add esp, 4 
$LN4@f_signed: 
pop ebp 
ret 0 
_f_signed ЕМОР 


Первая инструкция JLE значит Jump if Less ог Equal. Если второй операнд боль- 
ше первого или равен ему, произойдет переход туда, где будет следующая 
проверка. 


А если это условие не срабатывает (то есть второй операнд меньше первого), 
то перехода не будет, и сработает первый printf(). 


Вторая проверка это JNE: Jump if Not Equal. Переход не произойдет, если one- 
ранды равны. 


Третья проверка ЈСЕ: Jump if Greater ог Equal — переход если первый операнд 
больше второго или равен ему. Кстати, если все три условных перехода сра- 
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ботают, ни один printf() не вызовется. Но без внешнего вмешательства это 
невозможно. 


Функция Ё ипѕідпеа() точно такая же, за тем исключением, что используются 
инструкции JBE и JAE вместо JLE и ЈСЕ: 


Листинг 1.111: ССС 


_а$ = 8 ; 5іле = 4 
_6$ = 12 ; 51ге = 4 
_Т ипѕідпеа PROC 
push ebp 
mov ebp, esp 


mov eax, DWORD PTR _a$[ebp] 
cmp eax, DWORD PTR _b$[ebp] 
jbe SHORT $LN3@f_unsigned 
push OFFSET $562761 ; 'а>р' 
call printf 
add esp, 4 

$LN3@f_unsigned: 
mov ecx, DWORD PTR _a$[ebp] 
cmp ecx, DWORD PTR _b$[ebp] 
jne SHORT $LN2@f_unsigned 
push OFFSET $562763 ; 'a==b' 
call printf 
add esp, 4 

$LN2@f_unsigned: 
mov edx, DWORD PTR _a$[ebp] 
cmp edx, DWORD PTR _b$[ebp] 
jae SHORT $LN4@f_ unsigned 
push OFFSET $562765 ; 'а<р' 
call printf 
add esp, 4 

$LN4@f_unsigned: 
pop ebp 
ret 0 

_Т ипѕідпеа ЕМОР 


Здесь всё то же самое, только инструкции условных переходов немного дру- 
гие: 


ЈВЕ— Jump if Below ог Equal и ЈАЕ— Jump if Above ог Equal. Эти инструкции 
(ЈА/ЈАЕ/ЈВ/ЈВЕ) отличаются от JG/JGE/JL/JLE тем, что работают с беззнаковыми 
переменными. 


Таким образом, увидев где используется 36/21 вместо ЈА/ЈВ и наоборот, можно 
сказать почти уверенно насчет того, является ли тип переменной знаковым 
(signed) или беззнаковым (unsigned). 


Далее функция птаіп (), где ничего нового для нас нет: 


Листинг 1.112: main() 


_таіп PROC 
push ebp 
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mov 
push 
push 
call 
add 
push 
push 
call 
add 
xor 
pop 
ret 

_main ENDP 


ebp, esp 
2 

1 

_f_ signed 
esp, 8 

2 

1 

_f_ unsigned 
esp, 8 
eax, eax 
ebp 

0 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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x86 + MSVC + OllyDbg 


Если попробовать этот пример B OllyDbg, можно увидеть, как выставляются 
флаги. Начнем с функции f_unsigned(), которая работает с беззнаковыми чис- 
лами. 


В целом в каждой функции СМР исполняется три раза, но для одних и тех же 
аргументов, так что флаги все три раза будут одинаковы. 


Результат первого сравнения: 


CPU - main thread, module ех 
PUSH ЕВР 


MOU EBP, ESP 
MOU EAX, DWORD PTR 33: [986.1] экы 
СИР EAX, DWORD PTR SS: LARG. 2] Е 

JBE SHORT 89191069 

1ёза1нйй | PUSH OFFSET 80183018 

& В201801 CALL DWORD PTR 05: [<eMSUCR10A. printf>] 


МОУ ECX, DWORD PTR SS:[ARG. 1] 
CMP ECX, DWORD PTR _SS:[ARG. 2] eith 
JNE SHORT 88191872 4 . 80191853 

PUSH OFFSET 98193928 С ØLFFFFFFFF) 
CALL DWORD PTR 05: [<&MSUCR100.printf>] 5 7 @(ЕЕЕЕЕЕЕЕ) 


. 8254 04 ADD ЕЅР,4 Е a : 
> 8855 08 MOU ЕБХ,ОМОВО PTR 55: [АВВ.11 | реч ЁГЕЕЕЕЕЕЕЕ 
Е д МР EDX. DWORD PIR iLOR 1 Я 7 


MSUCR100. 6Е445617 


LastErr 998 
00000297 (М0 


НТ ТЕГ 5 1 а ТЕҒОО@ВаГ FFF) 
Ое=т=ен.001Я1069 2 5 ӨЙ2В yit ØLFFFFFFFF) 


RETURN from ex. й! 


ASCII "рМ" 


Ө Зи" 
HIU hNU 


Рис. 1.34: OllyDbg: f_unsigned(): первый условный переход 


Итак, флаги: С=1, Р=1, А=1, 2=0, 5=1, Т=0, О=0, О=0. Для краткости, в OllyDbg 
флаги называются только одной буквой. 


OllyDbg подсказывает, что первый переход (JBE) сейчас сработает. Действи- 
тельно, если заглянуть в документацию от Intel, (11.1.4 (стр. 1269)) прочитаем 
там, что JBE срабатывает в случаях если СЕ=1 или ZF=1. Условие здесь выпол- 
няется, так что переход срабатывает. 
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Следующий переход: 


8304 04 
8840 08 
ЗВ40 ØC 
75 ВЕ 


58 

ЕЕ15 
83С4 04 
8855 08 


Рис. 1.35: OllyDbg: # ипѕідпеа(): 


МОУ ЕВР,ЕЅР 

МОУ EAX, DWORD РТВ 55: [АВб. 17 
СМР EAX, DWORD РТВ 55: ГААб.21 
JBE SHORT 88191869 

PUSH OFFSET 001A3018 


8 18201809 
ЕЕ15 В828188( CALL DWORD PTR DS:[<&MSUCR100.printf>] 


ADD ESP, 4 
MOU ECX, DWORD PTR 55: САВВ. 11 

СИР ECX DWORD PTR 88: LARG. 21 

JNE SHORT 061A107F 

PUSH OFFSET 80193828 

CALL DWORD PTR DS: [<&MSUCR1OO.printf>] 
ADD ESP, 4 

MOU EDX, DWORD PTR 58: TARG. 11 


ноу) RAU 


®®®® 


381 
191 

it ØLFFFFFFFF) 
it В(ЕЕЕЕЕЕЕЕ) 
it ØLFFFFFFFF) 
it ØLFFFFFFFF) 
it ТЕРООВВВ(ЕЕЕ) 
it ВСЕЕРЕЕЕЕЕ) 


RETURN from ен. й 


RETURN from ен. 0 
ASCII "рну" 


второй условный переход 


OllyDbg подсказывает, что JNZ сработает. Действительно, Ј№ срабатывает ec- 
ли ZF=0 (zero Над). 
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Третий переход, JNB: 


СРО - main thread, module ех 


Jump is пот taken 
0191995 


УВЕ SHORT 00191069 

PUSH OFFSET 88193818 

CALL DWORD PTR DS:[<&MSUCR100.printf>] 
ADD ESP, 4 

MOU ECX, DWORD РТВ SS:[ARG.1] 

CMP ECX, DWORD PTR SS:[ARG.2] 

JNE SHORT 001A107F 

PUSH OFFSET 881893828 

CALL DWORD PTR 05: [<&MSUCR100.printf>] 
ADD ESP, 4 

MOU EDX, DWORD РТВ SS:[ARG.1] 

СМР EDX, DWORD PTR SS:[ARG.2] 

JAE SHORT 001A1095 

PUSH OFFSET 98193928 

CALL DWORD PTR DS:[<&MSUCR100.printf>] 


б) б) б) 


ут 
ЗЫ 


@ 


OOO 


OOO 


HEU RNU 


A1 
В(ЕЕЕЕЕЕЕЕ) 
В(ЕЕЕЕЕЕЕЕ) 
ØLFFFFFFFF) 
В(ЕЕЕЕЕЕЕЕ) 
ТЕРООВВВ(ЕЕЕ) 
ØLFFFFFFFF) 


RETURN from 


RETURN from ex. 8! 
ASCII "ру" 


Рис. 1.36: OllyDbg: f ипѕідпеа(): третий условный переход 


В документации от Intel (11.1.4 (стр. 1269)) мы можем найти, что JNB срабаты- 
вает если СЕ=0 (саггу Над). В нашем случае это не так, переход не срабатывает, 
и исполняется третий по счету printf(). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Теперь можно попробовать в OllyDbg функцию f_signed(), работающую со 3Ha- 
ковыми величинами. Флаги выставляются точно так же: С=1, Р=1, А=1, Z=0, 
5=1, Т=0, 0=0, О=0. Первый переход ЈІЕ сработает: 


CPU - main thread, module ех -Ioj хі 
В A 


PUSH ЕВР 
MOU EBP, ESP 
MOU EAX, DWORD РТВ 55: САВВ. 11 
СМР EAX, DWORD PTR 53: [CARG.2] 
JLE SHORT 001A1019 
68 ЙйЗӨ1НӘй |PUSH OFFSET 08193809 
ЕЕ1Є pozoina CALL DWORD PTR 08: [<8MSUCR100.printf>] 
MOU ECX, DWORD РТВ 55: СВВ. 11 Р 
СМР ECX, DWORD РТЕ 55: ВБ. 21 р OLA 
кү» < E 7 
CALL DWORD PTR 05: [<&MSUCR100.printf>] В 8058 Зер ӨТЕЕЕРЕЕРЕ 
ADD Е5Р,4 bit В(ЕЕЕЕЕЕЕЕ) 
MOU EDX, ОШОО РТВ 55: САВВ. 11 р: ӨГЕЕЕЕЕЕЕЕ) 

Б bit ТЕЕПОӘЙЙ(ЕРЕ) 
bit В(ЕРЕЕЕЕЕЕ) 


у -чфгУр 00) 


=) 


RETURN from ен. Øl 
ASCII "рну" 


‘mO 


Рис. 1.37: OllyDbg: f_signed(): первый условный переход 


В документации от Intel (11.1.4 (стр. 1269)) мы можем прочитать, что эта ин- 
струкция срабатывает если ZF=1 или SF+OF. В нашем случае $Е+ОЕ, так что 
переход срабатывает. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Второй переход №7 сработает: он срабатывает если ZF=0 (zero flag): 


СРО - main thread, module ех 


PUSH ЕВР 

МОМ ЕВР,ЕЅР 

МОУ EAX, DWORD РТВ 55: ГАВб. 11 

СМР EAX, DWORD РТВ SS:[ARG.2] 

JLE SHORT 001A1019 

PUSH OFFSET 98193888 

CALL DWORD PTR DS:[<&MSUCR100.printf>] 


ADD ESP, 4 
MOU ECX, DWORD PTR SS:[ARG. 1] 
СМР ЕСХ, DWORD PTR 55: [ЯВб.21 ә 
JNE SHORT 89191922 | 8 
PUSH OFFSET 98183888 Ёс ` Sø › > Э(ЕЕЕЕЕЕЕЕ) 
CALL DWORD PTR 0$:[<ЬМ$ШСЕ1дй.рг1пк#>1 ; ЕЕ 
MOU EDX, DWORD РТВ 55: [986.11 б ТЕЕЕЕЕЕКЕ 
- - - НЕ Е00888(ЕЕЕ) 
ВС ЕЕЕЕЕЕЕЕ) 


mmmm mmm mi 


RETURN from ex. 8! 
ASCII "рну" 


Рис. 1.38: OllyDbg: f_signed(): второй условный переход 
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Третий переход JGE не сработает, потому что он срабатывает, только если 
SF=0F, что в нашем случае не так: 


CPU - main thread, module ех = [ох] 
8 айзада 2 


JLE SHORT 001A1019 

PUSH OFFSET 981893888 fa 
CALL DWORD PTR DS:[<&MSUCR100.printf>] |EMS 
ADD ESP, 4 


МОУ ECX, DWORD РТВ SS:[ARG. 1] 

CMP ECX, DWORD PTR SS:[ARG.2] 

JNE SHORT 88191822 

PUSH OFFSET 98193888 #с 
CALL DWORD PTR DS:[<&MSUCR100.printf>] | М 
ADD ESF, 4 

MOY EDX, DWORD РТВ SS:[ARG.1] 

СМР _ EDX, DWORD PTR SS:[ARG.2] 

JGE SHORT 001A1045 

PUSH OFFSET 88193818 #с 
CALL DWORD PTR DS:[<&MSUCR100.printf>] | М 
App = 


m mmmmmmM MiA 


Ai 
Йй 


З(ЕЕЕЕЕЕЕЕ) 
@(ЕЕЕЕЕЕЕЕ) 

г В(ЕЕЕЕЕЕЕЕ) 
8(ЕЕЕЕЕЕЕЕ) 
7EFDDØAAL FFF) 
В(ЕРЕЕЕЕЕЕ) 


IDIO 


лыр 


л 
оооооо 


Рис. 1.39: OllyDbg: # ѕідпеа(): третий условный переход 
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x86 + MSVC + Нем 


Можем попробовать модифицировать исполняемый файл так, чтобы функция 
Ғ ипѕідпеа() всегда показывала «a==b», при любых входящих значениях. Вот 
как она выглядит в Нем: 


Рис. 1.40: Нем: функция Ё ипѕідпеа() 


Собственно, задач три: 
• заставить первый переход срабатывать всегда; 
• заставить второй переход не срабатывать никогда; 
• заставить третий переход срабатывать всегда. 


Так мы направим путь исполнения кода (code flow) во второй printf(), и он 
всегда будет срабатывать и выводить на консоль «а==Б». 


Для этого нужно изменить три инструкции (или байта): 


• Первый переход теперь будет JMP, но смещение перехода (jump offset) 
останется прежним. 


• Второй переход может быть и будет срабатывать иногда, но в любом слу- 
чае он будет совершать переход только на следующую инструкцию, пото- 
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му что мы выставляем смещение перехода (jump offset) в 0. 


В этих инструкциях смещение перехода просто прибавляется к адресу 
следующей инструкции. 


Когда смещение 0, переход будет на следующую инструкцию. 


• Третий переход конвертируем в JMP точно так же, как и первый, он будет 
срабатывать всегда. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Что и делаем: 


Рис. 1.41: Нем: модифицируем функцию Т ипѕідпеа() 


Если забыть про какой-то из переходов, то тогда будет срабатывать несколько 
вызовов printf(),a нам ведь нужно чтобы исполнялся только один. 


Неоптимизирующий ССС 


Неоптимизирующий ССС 4.4.1 производит почти такой же код, за исключением 
риї5() (1.5.3 (стр. 28)) вместо printf(). 


Оптимизирующий ССС 


Наблюдательный читатель может спросить, зачем исполнять СМР так много 
раз, если флаги всегда одни и те же? По-видимому, оптимизирующий М5\С не 
может этого делать, но ССС 4.8.1 делает больше оптимизаций: 


Листинг 1.113: ССС 4.8.1 # ѕідпеа() 


Т ѕідпеа: 
mov eax, DWORD PTR [esp+8] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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стр 
19 
те 
1де 
mov 
jmp 
„16: 
mov 
jmp 
. ЕТ: 
гер 
‚217: 
mov 
jmp 


ret 


DWORD PTR [esp+4], eax 
„16 


11 
DWORD РТА [esp+4], OFFSET FLAT:.LC2 ; "а<р" 
puts 


DWORD РТА [esp+4], OFFSET FLAT:.LCO ; "a>b" 
puts 


DWORD PTR [esp+4], OFFSET FLAT:.LC1 ; "a==b" 
puts 


Мы здесь также видим JMP puts вместо CALL puts / RETN. Этот прием описан 
немного позже: 1.21.1 (стр. 203). 


Нужно сказать, что х86-код такого типа редок. MSVC 2012, как видно, не MO- 
жет генерировать подобное. С другой стороны, программисты на ассемблере 
прекрасно осведомлены о том, что инструкции Јсс можно располагать после- 


довательно. 


Так что если вы видите это где-то, имеется немалая вероятность, что этот 
фрагмент кода был написан вручную. 


Функция Т ипѕідпеа() получилась не настолько эстетически короткой: 


Листинг 1.114: ССС 4.8.1 # ипѕідпеа() 


т ипѕідпеа: 
push 
push 
sub 
mov 
mov 
cmp 
ja 
cmp 
je 

.L10: 
jb 
add 
pop 
pop 
ret 

‚115: 
mov 
add 
pop 
pop 
jmp 

‚113: 
mov 
call 


esi 

ebx 

esp, 20 

esi, DWORD PTR [esp+32] 

ebx, DWORD PTR [esp+36] 

esi, ebx 

113 

esi, ebx ; эту инструкцию можно было бы убрать 
114 


„115 
еѕр, 20 
ерх 
еѕі 


DWORD РТА [еѕр+32], OFFSET FLAT:.LC2 ; "a<b" 
esp, 20 

ebx 

esi 

puts 


DWORD PTR [esp], OFFSET FLAT:.LCO ; "a>b" 
puts 
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стр еѕі, ерх 
јпе 110 
.114: 
тоу DWORD PTR [езр+32], OFFSET FLAT:.LC1 ; "а==0" 
add esp, 20 
pop ebx 
pop esi 
jmp puts 


Тем не менее, здесь 2 инструкции СМР вместо трех. 
Так что, алгоритмы оптимизации ССС 4.8.1, наверное, ещё пока не идеаль- 
ны. 


ARM 
32-битный ARM 


Оптимизирующий Keil 6/2013 (Режим ARM) 


Листинг 1.115: Оптимизирующий Keil 6/2013 (Режим ARM) 


. text : 000000B8 EXPORT f_signed 

. text : 000000B8 f_signed ; CODE XREF: main+C 
.text:000000B8 70 40 2D E9 STMFD 5Р!, {R4-R6,LR} 
.text:000000BC 01 40 Аб Е1 MOV R4, R1 

.text:000000C0 04 00 50 Е1 CMP RO, R4 

.text:000000C4 00 50 Аб Е1 MOV R5, RỌ 

.text:000000C8 1A ОЕ 8F C2 ADRGT RO, аАВ ; "a>b\n" 
.text:000000CC А1 18 00 CB BLGT _ 2printf 

.text:000000D0 04 00 55 Е1 CMP R5, R4 

.text:000000D4 67 OF 8F 02 ADREQ RO, аАВ 0 ; "a==b\n" 
.text:000000D8 ОЕ 18 00 ОВ BLEQ _ 2printf 

.text:000000DC 04 00 55 Е1 CMP R5, R4 

.text:000000E0 70 80 BD A8 LDMGEFD SP!, {R4-R6,PC} 
.text:000000E4 70 40 BD E8 LDMFD SP!, {R4-R6,LR} 
.text:000000E8 19 ОЕ ЗЕ E2 ADR RO, аАВ 1 ; "a<b\n" 
.Тех{:000000ЕС 99 18 00 ЕА В __2рг1пїї 

. text : 000000EC ; End of function f_signed 


Многие инструкции в режиме ARM могут быть исполнены только при некото- 
рых выставленных флагах. 


Это нередко используется для сравнения чисел. 


К примеру, инструкция ADD на самом деле называется ADDAL внутри, AL озна- 
чает Always, то есть, исполнять всегда. Предикаты кодируются в 4-х старших 
битах инструкции 32-битных АВМ-инструкций (condition field). Инструкция без- 
условного перехода В на самом деле условная и кодируется так же, как и про- 
чие инструкции условных переходов, но имеет AL в condition field, TO есть nC- 
полняется всегда (execute АГ мауѕ), игнорируя флаги. 
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Инструкция АОВСТ работает так же, как и АБВ, но исполняется только в случае, 
если предыдущая инструкция СМР, сравнивая два числа, обнаруживает, что 
одно из них больше второго (Сгеаѓег Тһап). 


Следующая инструкция ВЕСТ ведет себя так же, как и BL и сработает, только 
если результат сравнения “больше чем” (Greater Than). АОВСТ записывает в 
RO указатель на строку а>Б\п, а ВЕСТ вызывает ргіпі? (). Следовательно, эти 
инструкции с суффиксом -GT исполнятся только в том случае, если значение 
в RO (Там а) было больше, чем значение в R4 (там b). 


Далее мы увидим инструкции ADREQ и ВЕЕО. Они работают так же, как и ADR и 
ВЕ, но исполнятся только если значения при последнем сравнении были равны. 
Перед ними расположен ещё один СМР, потому что вызов ргіпї# () мог испор- 
тить состояние флагов. 


Далее мы увидим LDMGEFD. Эта инструкция работает так же, как и LDMFD??, но 
сработает только если в результате сравнения одно из значений было больше 
или равно второму (Greater or Equal). Смысл инструкции ЕОМбЕРО 5Р!, {R4-R6,PC} 
в том, что это как бы эпилог функции, но он сработает только если а >= Б, толь- 
ко тогда работа функции закончится. 


Но если это не так, то есть а < b, то исполнение дойдет до следующей инструк- 
ции LDMFD 5Р!, {R4-R6,LR}. Это ещё один эпилог функции. Эта инструкция 
восстанавливает состояние регистров В4-В6, но и LR вместо РС, таким oôpa- 
зом, пока что, не делая возврата из функции. 


Последние две инструкции вызывают ргіпї? () со строкой «а<Б\п» в качестве 
единственного аргумента. Безусловный переход на printf() вместо возврата 
из функции мы уже рассматривали в секции «рип () с несколькими аргумен- 
тами» (1.11.2 (стр. 73)). 


Функция Т ипѕідпеа точно такая же, но там используются инструкции АРВНІ, 
ВІНІ, и LDMCSFD. Эти предикаты (HI = Unsigned higher, CS = Carry Set (greater 
than or equal)) аналогичны рассмотренным, но служат для работы с беззнако- 
выми значениями. 


В функции та1п() ничего нового для нас нет: 


Листинг 1.116: та1п() 


.Хехї: 00000128 EXPORT main 

.Хехї: 00000128 main 

.text:00000128 10 40 2D E9 STMFD SP!, {R4,LR} 
.text:0000012C 02 10 Аб E3 MOV R1, #2 
.text:00000130 01 00 Аб E3 MOV RO, #1 
.text:00000134 DF FF FF EB BL f_signed 
.text:00000138 02 10 Аб E3 MOV R1, #2 
.text:0000013C 01 00 Аб E3 MOV RO, #1 
.text:00000140 EA FF FF EB BL f_unsigned 
.text:00000144 00 00 Аб ЕЗ MOV RO, #0 
.text:00000148 10 80 BD E8 LDMFD SP!, {R4,PC} 
.text:00000148 ; End of function main 
90LDMFD 
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Так, в режиме АКМ можно обойтись без условных переходов. 
Почему это хорошо? Читайте здесь: 2.4.1 (стр. 586). 


В x86 нет аналогичной возможности, если не считать инструкцию СМО\сс, это 
то же что и MOV, но она срабатывает только при определенных выставленных 
флагах, обычно выставленных при помощи СМР во время сравнения. 


Оптимизирующий Кей! 6/2013 (Режим Thumb) 


Листинг 1.117: Оптимизирующий Keil 6/2013 (Режим Thumb) 


. text :00000072 f_signed ; CODE XREF: main+6 
.text:00000072 70 B5 PUSH {R4-R6 , LR} 

.text:00000074 ӨС 00 MOVS R4, R1 

.text:00000076 05 00 MOVS R5, RO 

.text:00000078 Аб 42 CMP RO, R4 

.text:0000007A 02 DD BLE loc 82 

.text:0000007C A4 Аб ADR RO, aAB ; "a>b\n" 
.text:0000007E 06 FO B7 F8 BL _ 2printf 

. text : 00000082 

. text : 00000082 loc_82 ; CODE XREF: f_signed+8 
.text:00000082 A5 42 CMP R5, R4 

.text:00000084 02 D1 BNE loc_8C 

.text:00000086 A4 Аб ADR RO, аАВ 0 ; "a==b\n" 
.text:00000088 06 FO B2 F8 ВІ _ 2printf 

. text :0000008C 

. text :0000008C 1ос 8С ; CODE XREF: f_signed+12 
.text:0000008C A5 42 CMP R5, R4 

.text:0000008E 02 DA BGE locret_96 

.text:00000090 АЗ Аб ADR RO, аАВ 1 ; "а<р\п" 
.text:00000092 06 FO Ар F8 BL _ 2printf 

. text : 00000096 

. text :00000096 locret_96 ; CODE XREF: f_signed+1C 
.text:00000096 70 BD POP {R4-R6 , PC} 

.text:00000096 ; End of function Т signed 


В режиме Thumb только инструкции В могут быть дополнены условием испол- 
нения (condition code), так что код для режима Thumb выглядит привычнее. 


BLE это обычный переход с условием Less {Пап ог Equal, BNE — Not Equal, ВСЕ — 
Greater than ог Equal. 


Функция f unsigned точно такая же, HO для работы с беззнаковыми величина- 
ми там используются инструкции BLS (Unsigned lower ог same) и BCS (Сагу Set 
(Greater than ог едиа!)). 


АКМ64: Оптимизирующий ССС (Linaro) 4.9 


Листинг 1.118: Е ѕідпеа() 


Т ѕідпеа: 
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; М0=а, Wl=b 
стр №0, м1 
bgt . L19 ; Branch if Greater Than (переход, если больше чем) 
a>b 
| к ‚120 ; Branch if Equal (переход, если равно) (a==b) 
роде . L15 ; Branch if Greater than or Equal (переход, если 
больше ен равно) (а>=р) (здесь это невозможно) 
; a< 
айгр x0, .1С11 ; "а<р" 
ааа х0, x0, :1012:.1С11 
b puts 
.L19: 
adrp х0, .LC9 ; "a>b" 
add x0, x0, :l012:.LC9 
b puts 
.115: ; попасть сюда невозможно 
геї 
.120: 
айгр х0, .1С10 ; "а==р" 
ааа х0, x0, :1012:.1С10 
b puts 
Листинг 1.119: f_unsigned() 
т ипѕідпеа: 
stp x29, x30, [5р, —-48]! 
; М0=а, Wl=b 
стр №0, м1 
ааа х29, 5р, 0 
str x19, [sp,16] 
mov w19, м0 
bhi . L25 ; Branch if HIgher (переход, если выше) (a>b) 
cmp w19, w1 
beq . L26 ; Branch if Equal (переход, если равно) (a==b) 
. L23: 
bcc . L27 ; Branch if Carry Clear (если нет переноса) (если 


меньше, чем) (a<b) 
; эпилог функции, сюда попасть невозможно 


1аг х19, [5р,16] 


1ар x29, x30, [sp], 48 
ret 
. L27: 
ldr x19, [sp,16] 
adrp x0, .LC11 ‚ "a<b" 
1ар x29, x30, [sp], 48 
add x0, x0, :1012:.1С11 
b puts 
.L25: 
adrp x0, .LC9 ; "a>b" 
str x1, [x29,40] 
add x0, x0, :l012:.LC9 
bl puts 
1аг х1, [х29,40] 
стр №19, м1 
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рпе . L23 ; Branch if Not Equal (переход, если не равно) 
‚126: 

ldr x19, [sp,16] 

adrp x0, .LC10 ; "a==b" 

1ар x29, x30, [sp], 48 

add x0, хб, :l012:.LC10 

b puts 


Комментарии добавлены автором этой книги. В глаза бросается TO, что KOM- 
пилятор не в курсе, что некоторые ситуации невозможны, поэтому кое-где B 
функциях остается код, который никогда не исполнится. 


Упражнение 


Попробуйте вручную оптимизировать функции по размеру, убрав избыточные 
инструкции и не добавляя новых. 


MIPS 


Одна отличительная особенность MIPS это отсутствие регистра флагов. Oye- 
видно, так было сделано для упрощения анализа зависимости данных (Чака 
dependency). 


Так что здесь есть инструкция, похожая на 5ЕТсс B x86: SLT («Set оп Less Than» — 
установить если меньше чем, знаковая версия) и SLTU (беззнаковая версия). 
Эта инструкция устанавливает регистр-получатель в 1 если условие верно или 

в 0 в противном случае. 


Затем регистр-получатель проверяется, используя инструкцию ВЕО («Вгапсһ оп 
Equal» — переход если равно) или BNE («Branch оп Not Equal» — переход если 
не равно) и может произойти переход. Так что эта пара инструкций должна 
использоваться в MIPS для сравнения и перехода. Начнем со знаковой версии 
нашей функции: 


Листинг 1.120: Неоптимизирующий ССС 4.4.5 (IDA) 


.Хехї:00000000 Г ѕідпеа: # CODE XREF: main+18 

. text: 00000000 

.text:00000000 var_10 = -0x10 

.text:00000000 var 8 = -8 

.text:00000000 var 4 = -4 

.text:00000000 arg 0 = 0 

.text:00000000 агд4 = 4 

.1ехї:00000000 

. text: 00000000 addiu $sp, -0x20 

. text : 00000004 Sw $ra, 0x20+var_4($sp) 
. text: 00000008 SW $fp, 0x20+var_8($sp) 
. text: 0000000C move $fp, $sp 
.text:00000010 la $gp, __опи 1оса1 ор 
.Техе: 00000018 sw $gp, 0x20+var_10($sp) 
‚ сохранить входные значения в локальном стеке: 
.Техт:0000001С SW $a0, 0x20+arg_O0($fp) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


181 


. text: 00000020 Sw $al, 0x20+arg_4($fp) 
; перезагрузить их: 

.Техт: 00000024 lw $v1, 0x20+arg_O0($fp) 
. text :00000028 1м $\0, 0x20+arg_4($fp) 
; $v0=b 

; $у1=а 

.text:0000002C or $at, $zero ; NOP 


; это псевдоинструкция. на самом деле, там "slt $v0,$v0,$v1" . 


; так что $\0 будет установлен в 1, если $у0<$у1 (Б<а) или в 0 в противном 
случае: 


. text: 00000030 slt $у0, $v1 
; перейти Ha loc 5c, если условие не верно. 
; это псевдоинструкция. на самом деле, там "beq $v0O,$zero,loc_ 5c" 


. text : 00000034 beqz $\0, loc_5C 

; вывести "a>b" и выйти 

.Техт:00000038 or $at, $zero ; branch delay slot, NOP 
. text :0000003C lui $у0, (unk 230 >> 16) # "a>b" 

. text: 00000040 addiu $аб, $\0, (unk_230 & ОхЕЕЕЕ) # "a>b" 
. text: 00000044 lw $v0, (puts & OxFFFF)($gp) 

. text :00000048 or $at, $zero ; NOP 

.text:0000004C move $t9, $\0 

. text: 00000050 jalr $t9 

. text :00000054 or $at, $zero ; branch delay slot, NOP 
. text : 00000058 1м фор, Өх20+үаг 10($#р) 
.Хехї:0000005С 

.text:0000005C Лос 5С: # CODE XREF: f 51ідпей+34 
. text :0000005C lw $v1, 0x20+arg_0($fp) 

.Хехї: 00000060 1м $\0, 0x20+arg_4($fp) 

. text :00000064 or $at, $zero ; NOP 

; проверить a==b, перейти Ha loc 90, если это не так: 
.ехт:00000068 bne $v1, $vO0, loc 90 

.text:0000006C or $at, $zero ; branch delay slot, NOP 
; условие верно, вывести "a==b" и закончить: 

. text :00000070 lui $у0, (аАВ >> 16) # "а==Ь" 

. text :00000074 addiu фаб, $у0, (аАВ & OxFFFF) # "а==0" 

. text: 00000078 lw $у0, (puts & OxFFFF)($gp) 
.text:0000007C or $at, $zero ; NOP 

. text :00000080 move $t9, $\0 

. text : 00000084 jalr $t9 

.text:00000088 or $at, $zero ; branch delay slot, NOP 
. text :0000008C 1м фор, Өх20+үаг 10($#р) 

.ехїі: 00000090 

.1ехї:00000090 Лос 90: # CODE XREF: f signed+68 
. text: 00000090 lw $v1, 0x20+arg_0($fp) 

. text: 00000094 1м $\0, 0x20+arg_4($fp) 

.Техт:00000098 ог фаї, $тего ; МОР 

; проверить условие $\1<$\%0 (а<б), установить $%0 в 1, если условие верно: 
.text:0000009C slt $у0, $v1, $\%0 

; если условие не верно (т.е. $\0==0), перейти Ha loc c8: 

. text: 00000040 beqz $\0, loc_C8 

. text: 00000044 or $at, $zero ; branch delay slot, NOP 
; условие верно, вывести "a<b" и закончить 

.Техт:000000А8 lui $у0, (аАВ Ө >> 16) # "a<b" 

. text: 000000АС addiu $аб, $\0, (аАВ_0 & OxFFFF) # "a<b" 
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.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
; все 
.text: 

f 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 


000000B0 1м $у0, 
00000084 ог $at, 
000000B8 move $t9, 
000000BC jalr $t9 
000000C0 or $at, 
000000C4 1м Фор, 
000000с8 


3 условия были неверны, 
000000C8 loc C8: 


signed+A0 

000000с8 move $sp, 
000000CC lw $ra, 
000000D0 lw $fp, 
000000D4 addiu $sp, 
000000D8 jr $ra 
000000DC or $at, 


000000DC # End of function f 


(puts & ӨхЕЕЕЕ) ($gp) 
$zero ; NOP 
$0 


$хего ; branch delay slot, МОР 
0х20+маг 10 ($#р) 


так что просто заканчиваем: 


# CODE XREF: 


$fp 
0x20+var_4($sp) 
0x20+var_8($sp) 
0x20 


$zero ; 
signed 


branch delay slot, NOP 


SLT REGO, REGO, REG1 сокращается в IDA до более короткой формы SLT REGO, 
REG1. Мы также видим здесь псевдоинструкцию BEQZ («Branch if Equal to Zero» — 
переход если равно нулю), которая, на самом деле, BEQ REG, $ZERO, LABEL 


Беззнаковая версия точно такая же, только здесь используется SLTU (беззна- 
ковая версия, отсюда «Ц» в названии) вместо 517 


Листинг 1.121: Неоптимизирующий ССС 4.4.5 (IDA) 


.text: 
.text 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 


000000E0 f_unsigned: # CODE XREF: main+28 
:000000Е0 

000000Е0 var 10 = -0x10 

000000Е0 var 8 = -8 

000000Е0 var 4 = -4 

000000E0 arg о = 0 

000000E0 arg 4 = 4 

000000E0 

000000E0 addiu $sp, -0x20 

000000E4 Sw $ra, 0x20+var_4($sp) 
000000E8 Sw $fp, 0x20+var_8($sp) 
000000EC move $fp, $sp 

000000F0 la $gp, __опи 1оса1 ор 
000000Е8 Sw $gp, 0x20+var_10($sp) 
000000FC SW $a0, 0х20+агд_0($Тр) 
00000100 SW $al, 0x20+arg_4($fp) 
:00000104 1м $у1, 0х20+агд 0($#р) 
00000108 1м $у0, 0x20+arg_4($fp) 
0000010C or $at, $zero 

00000110 sltu $у0, $v1 

00000114 beqz $\0, loc_13C 

00000118 or $at, $zero 

0000011C lui $v0, (unk_230 >> 16) 
00000120 addiu $a0, $\0, (ипк 230 & ОхЕРЕЕ) 
00000124 lw $у0, (puts & OxFFFF)($gp) 
00000128 or $at, $zero 

0000012C move $t9, $\0 
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.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 


00000130 jalr $t9 
00000134 or $at, 
00000138 lw Фар, 
0000013С 

0000013С 1ос 13С: 

0000013С 1м $у1, 
00000140 1м $\0, 
: 00000144 ог $at, 
00000148 bne $v1, 
0000014C or $at, 
00000150 lui $\0, 
00000154 addiu $а0, 
00000158 1м $\0, 
0000015С ог $at, 
00000160 move $t9, 
00000164 jalr $t9 
00000168 or $at, 
0000016C lw Фар, 
00000170 

00000170 1ос 170: 

00000170 lw $v1, 
00000174 1м $\0, 
:00000178 ог $at, 
0000017C sltu $\0, 
00000180 beqz $\0, 
00000184 ог $at, 
00000188 lui $\0, 
0000018С addiu $а0, 
00000190 1м $\0, 
00000194 ог $at, 
00000198 move $t9, 
0000019C jalr $t9 
00000140 ог $at, 
: 00000144 lw $ор, 
000001А8 

000001А8 1ос 1А8: 

000001А8 move $sp, 
000001АС 1м $га, 
000001В0 lw $fp, 
000001B4 addiu $sp, 
000001B8 jr $ra 
000001BC or $at, 
000001BC # End of function f 


$zero 
0x20+var_10($fp) 


# CODE XREF: f_unsigned+34 
0x20+arg_0($fp) 
0x20+arg_4($fp) 
$zero 
$\0, loc 170 
$zero 
(aAB >> 16) # "а==р" 
$у0, (аАВ & OxFFFF) # 
(puts & ӨхЕЕЕР)($о0р) 
$zero 
$\0 


"а==р" 


$7его 
0х20+маг 10 ($#р) 


# CODE XREF: Т ипѕідпеа+68 
0х20+агд 0 ($?#р) 
0х20+агд 4($+#р) 
$7его 
$v1, $%0 
1ос 1А8 
$7его 
(аАВ 0 >> 16) # "а<р" 
$\0, (аАВ 0 & ӨХЕЕЕЕ) # 
(puts & ӨхЕЕЕР)($о0р) 
$7его 
$у0 


"а<р" 


$7его 
0х20+\аг 10($?#р) 


# CODE XREF: f ипѕідпеа+АО 
$fp 
0x20+var_4($sp) 
0x20+var_8($sp) 
0x20 


$zero 
unsigned 


1.18.2. Вычисление абсолютной величины 


Это простая функция: 


int му арѕ (int і) 


{ 


if (1<0) 
return -—1; 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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е1ѕе 
return i; 


}; 


Оптимизирующий М$\С 
Обычный способ генерации кода: 


Листинг 1.122: Оптимизирующий MSVC 2012 x64 


1$ = 8 
ту аб5 PROC 
; ЕСХ = 1приї 
test ecx, ecx 
; проверить знак входного значения 
; пропустить инструкцию МЕС, если знак положительный 


jns SHORT $LN2@my_ abs 
‚ поменять знак 
пед есх 


$Е№2@ту абѕ: 
; подготовить результат в ЕАХ: 


тоу еах, есх 
гет 0 
ту абрѕ ЕМОР 


ССС 4.9 делает почти то же самое. 


Оптимизирующий Кей 6/2013: Режим Thumb 


Листинг 1.123: Оптимизирующий Кей! 6/2013: Режим Thumb 
ту абѕ PROC 

СМР го ‚#0 
; входное значение равно нулю или больше нуля? 
; в таком случае, пропустить инструкцию RSBS 


ВСЕ 110.6] 
; отнять входное значение от 0: 
RSBS го, го, #0 
110.6] 
ВХ 1г 
ЕМОР 


В ARM нет инструкции для изменения знака, так что компилятор Кей использу- 
ет инструкцию «Reverse Subtract», которая просто вычитает, но с операндами, 
переставленными наоборот. 


Оптимизирующий Кей 6/2013: Режим АКМ 


В режиме АВМ можно добавлять коды условий к некоторым инструкций, что 
компилятор Кей и сделал: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Листинг 1.124: Оптимизирующий Keil 6/2013: Режим ARM 


ту абѕ PROC 


СМР го, #0 


; исполнить инструкцию "Reverse Subtract" только в случае, 
; если входное значение меньше 0: 


RSBLT го, го, #0 
ВХ 1г 
ЕМОР 


Теперь здесь нет условных переходов и это хорошо: 
2.4.1 (стр. 586). 


Неоптимизирующий ССС 4.9 (АКМ64.) 


В АВМ64 есть инструкция NEG для смены знака: 


Листинг 1.125: Оптимизирующий ССС 4.9 (АВМ64) 


sub sp, sp, #16 
str w0, [5р,12] 
ldr w0, [sp,12] 


; сравнить входное значение с содержимым регистра WZR 
; (который всегда содержит ноль) 


стр №0, миг 
роде ‚12 
ldr w0, [5р,12] 
neg №0, м0 
b 13 
„2 
ldr w0, [sp,12] 
„ЗЕ 
ааа sp, sp, 16 
ret 
MIPS 
Листинг 1.126: Оптимизирующий ССС 4.4.5 (IDA) 
my_abs: 


; перейти если $a0<0: 


bltz $a0, locret_10 


; просто вернуть входное значение ($а0) в $\0: 


move $\0, $а0 
jr $ra 
or $at, $zero ; branch delay slot, NOP 


locret_10: 
‚ поменять у значения знак и сохранить его в $0: 


jr $ra 


; это псевдоинструкция. на самом деле, это "subu $\0, $7его,$а0" ($v0=0-$a0) 


педи $у0, $а0 
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Видим здесь новую инструкцию: BLTZ («Branch if Less Than Zero»). Тут есть 
также псевдоинструкция NEGU, которая на самом деле вычитает из нуля. Суф- 
фикс «Ц» в обоих инструкциях SUBU и NEGU означает, что при целочисленном 
переполнении исключение не сработает. 


Версия без переходов? 


Возможна также версия и без переходов, мы рассмотрим её позже: 3.14 (стр. 656). 


1.18.3. Тернарный условный оператор 


Тернарный условный оператор (ternary conditional operator) в Си/Си+ +это: 


ехргеѕѕіоп ? ехргеѕѕіоп : ехргеѕѕіоп 


И вот пример: 


const char» f (int а) 


{ 
}; 


return а==10 ? "it is ten" : "it 15 пої ten"; 


x86 


Старые n неоптимизирующие компиляторы генерируют код так, как если бы 
выражение if/else было использовано вместо него: 


Листинг 1.127: Неоптимизирующий М5\С 2008 


$56746 DB '1{ is ten', ӨӨН 
$56747 DB '1 is пої +еп', ӨӨН 
tv65 = -4 ; будет использовано как временная переменная 
_а$ = 8 
f PROC 
push ebp 
mov ebp, esp 
push ecx 
; сравнить входное значение с 10 
стр DWORD РТК _а$[ебр], 10 
; переход на $LN3@f если не равно 
јпе SHORT $LN3@f 
; сохранить указатель на строку во временной переменной: 
mov DWORD PTR tv65[ebp], OFFSET $56746 ; 'it 15 ten' 
; перейти на выход 
jmp SHORT $LN4@f 
$LN3G@f : 
; сохранить указатель на строку во временной переменной: 
mov DWORD PTR tv65[ebp], OFFSET $56747 ; 'it is not ten' 
$LN4Gf : 
; это выход. скопировать указатель на строку из временной переменной в EAX. 
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тоу eax, DWORD РТА tv65[ebp] 
mov esp, ebp 
pop ebp 
ret 0 
f ENDP 


Листинг 1.128: Оптимизирующий MSVC 2008 


$56792 DB 'it is +еп', ӨӨН 
$56793 DB '1 is пої +еп', ӨӨН 
_а$ = 8 ; 517е = 4 
И PROC 
; сравнить входное значение с 10 
стр DWORD РТК а$[еѕр-4], 19 
тоу eax, OFFSET $56792 ; 'ії is їеп' 
; переход на $LN4@f если равно 
је SHORT $LN4@f 
mov eax, OFFSET $56793 ; 'it 15 not ten' 
$LN4Gf : 
ret 0 
f ENDP 


Новые компиляторы могут быть более краткими: 


Листинг 1.129: Оптимизирующий М5\С 2012 x64 


$561355 ОВ 'it is +еп', ӨӨН 
561356 ОВ '1 is пої +еп', ӨӨН 
а$ = 8 
f PROC 
; загрузить указатели на обе строки 
Теа гах, OFFSET ЕЁАТ: $561355 ; '1{ is їеп' 
lea rax, OFFSET FLAT:$SG1356 ; 'ії is not ten' 
; сравнить входное значение с 10 
стр есх, 10 


; если равно, скопировать значение из RDX ("it is ten") 
; если нет, ничего не делаем. указатель на строку 
; "it is пої Теп" всё еще в ВАХ. 
стоме гах, гах 
ret 0 
f ENDP 


Оптимизирующий GCC 4.8 для x86 также использует инструкцию СМО\сс, тогда 
как неоптимизирующий ССС 4.8 использует условные переходы. 


ARM 


Оптимизирующий Keil для режима ARM также использует инструкцию ADRCC, 
срабатывающую при некотором условии: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Листинг 1.130: Оптимизирующий Кей 6/2013 (Режим АВМ) 


f PROC 

; сравнить входное значение с 10 
СМР го, #0ха 

; если результат сравнения Едиа1 (равно), 

; скопировать указатель на строку "it is Теп" в RO 
ADREQ го, |10.16| ; "it is ten" 

; если результат сравнения Not Equal (не равно), 

; скопировать указатель на строку "ії is пої Теп" в АО 


АОВМЕ го, |10.28| ; "it is not ten" 
BX tr 
ENDP 
[10.16 | 
DCB "it 15 ten",0 
[10.28 | 
ОСВ "it is пої Теп",0 


Без внешнего вмешательства инструкции ADREQ и ADRNE никогда не исполнятся 
одновременно. Оптимизирующий Кей для режима Thumb вынужден использо- 
вать инструкции условного перехода, потому что тут нет инструкции загрузки 
значения, поддерживающей флаги условия: 


Листинг 1.131: Оптимизирующий Keil 6/2013 (Режим Thumb) 


f PROC 
; сравнить входное значение с 10 
СМР го, #0ха 
; переход на |19.8| если Едиа1 (равно) 
BEQ 110.8] 
ADR rO, |L0.12| ; "it is not ten" 
BX tr 
110.8] 
ADR го, |L0.28| ; "it is ten" 
BX tr 
ENDP 
10. 12] 
ОСВ "it is пої ten",0 
[10.28 | 
DCB "it 15 ten",0 
ARM64 


Оптимизирующий GCC (Linaro) 4.9 для ARM64 также использует условные ne- 
реходы: 


Листинг 1.132: Оптимизирующий ССС (Linaro) 4.9 


f: 
cmp x0, 10 
beq 213 ; branch if equal (переход, если равно) 
айгр x0, .LC1 ; "it is ten" 
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ааа x0, x0, :1012:.1С1 
ret 
„L3: 
adrp x0, .LCO ; "it is not ten" 
add x0, x0, :1012:.1С0 
ret 
.LCO: 
.string "it is ten" 
.LC1: 
.String "it is not ten" 


Это потому что в ARM64 нет простой инструкции загрузки с флагами условия, 
как АОВсс в 32-битном режиме АВМ или СМО\Усс в х86. 


Но с другой стороны, там есть инструкция CSEL («Conditional 5ЕЁ ес») [ААМ 

Architecture Reference Manual, ARMv8, for ARMv8-A architecture profile, (2013)р390, 
С5.5], но GCC 4.9 наверное, пока не так хорош, чтобы генерировать её в таком 

фрагменте кода 


MIPS 
GCC 4.4.5 для MIPS тоже не так хорош, к сожалению: 


Листинг 1.133: Оптимизирующий ССС 4.4.5 (вывод на ассемблере) 


$С0: 
.аѕсії "ії is пої ten\000" 
$LC1: 
„ascii "it is ten\000" 
f: 
li $2,10 # Оха 
; сравнить $a0 и 10, переход, если равно: 
beq $4,$2,$L2 


nop ; branch delay slot 


; оставить адрес строки "it is not ten" B $vO и выйти: 


lui $2,%hi($LC0) 
j $31 
addiu $2,$2,%lo($LC0) 
$L2: 
; оставить адрес строки "it is ten" в $\0 и выйти: 


lui $2,%hi($LC1) 
j $31 
addiu $2,$2,%lo($LC1) 


Перепишем, используя обычный if/else 


const char» f (int а) 
{ 
if (a==10) 
return "it is ten"; 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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е1ѕе 
return "it is пої Теп"; 


}; 


Интересно, оптимизирующий ССС 4.8 для х86 также может генерировать СМО\сс 
в этом случае: 


Листинг 1.134: Оптимизирующий ССС 4.8 


. ЕСО: 
„string "it is ten" 
.LC1: 
.String "it is not ten" 
f: 
.LFBO: 
; сравнить входное значение с 10 
стр DWORD PTR [езр+4], 10 
mov edx, OFFSET FLAT:.LC1 ; "it is not ten" 
mov eax, OFFSET FLAT:.LCO ; "it 15 ten" 
; если результат сравнение Not Equal (не равно), скопировать значение из EDX 
; а И МЕТ, то ничего не делать 
cmovne eax, edx 
ret 


Оптимизирующий Keil в режиме ARM генерирует код идентичный этому: ли- 
стинг.1.130. 


Но оптимизирующий MSVC 2012 пока не так хорош. 


Вывод 


Почему оптимизирующие компиляторы стараются избавиться от условных пе- 
реходов? Читайте больше об этом здесь: 2.4.1 (стр. 586). 


1.18.4. Поиск минимального и максимального значения 
32-bit 


int my_max(int a, int b) 


{ 
if (a>b) 
return a; 
else 
return b; 
}; 
int му тіп(іп+ а, int b) 
{ 
if (a<b) 
return a; 
else 
return b; 
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}; 
Листинг 1.135: Неоптимизирующий MSVC 2013 
_а$ = 8 
_b$ = 12 
_ту тіп PROC 
push ebp 
mov ebp, esp 
mov eax, DWORD PTR _a$[ebp] 
; сравнить А n B: 
стр eax, DWORD РТВ 0$ [ерр] 
; переход, если А больше или равно В: 
јде SHORT $LN2@my тіп 
; перезагрузить А B EAX в противном случае и перейти на выход 
mov eax, DWORD PTR _a$[ebp] 
jmp SHORT $LN3@my тіп 
jmp SHORT $LN3@my min ; это избыточная инструкция 
$LN2@my_ тіп: 
; возврат B 
тоу eax, DWORD РТВ _b$[ebp] 
$LN3@my_min: 
pop ebp 
ret 0 
_му min ЕМОР 
_а$ = 8 
b$ = 12 
_ту тах PROC 
push ebp 
mov ebp, esp 
mov eax, DWORD PTR _a$[ebp] 
; сравнить А n B: 
стр eax, DWORD РТВ _b$[ebp] 
; переход, если А меньше или равно B: 
jle SHORT $LN2@my max 
; перезагрузить А B EAX в противном случае и перейти на выход 
mov eax, DWORD PTR _a$[ebp] 
jmp SHORT $LN3@my max 
jmp SHORT $LN3@my_max ; это избыточная инструкция 
$LN2@my_ тах: 
; возврат B 
mov eax, DWORD PTR _b$[ebp] 
$LN3@my_max : 
pop ebp 
ret 0 
_ту тах ЕМОР 


Эти две функции отличаются друг от друга только инструкцией условного пе- 
рехода: ЈСЕ («Jump if Greater ог Equal» — переход если больше или равно) nc- 
пользуется в первой и JLE («Jump if Less ог Equal» — переход если меньше или 
равно) во второй. 
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Здесь есть ненужная инструкция JMP в каждой функции, которую MSVC, навер- 
ное, оставил по ошибке. 


Без переходов 


ARM в режиме Thumb напоминает нам х86-код: 


Листинг 1.136: Оптимизирующий Keil 6/2013 (Режим Thumb) 


ту тах PROC 
; КО=А 
; А1=В 
; сравнить А и В: 
СМР г, г1 
; переход, если А больше В: 
BGT 110.6] 
; в противном случае (А<=В) возврат В1 (В): 
MOVS г9, г1 
110.6] 
; возврат 
ВХ tr 
ENDP 
my_min PROC 
; RO=A 
; R1=B 
; сравнить А n B: 
СМР г9, г1 
; переход, если А меньше В: 
ВЕТ 10.14 | 
; в противном случае (А>=В) возврат R1 (В): 
MOVS г9, г1 
[10.14 | 
; возврат 
ВХ 1г 
ЕМОР 


Функции отличаются только инструкцией перехода: BGT и ВЕТ. А в режиме АВМ 
можно использовать условные суффиксы, так что код более плотный. МО\сс 
будет исполнена только если условие верно: 


Листинг 1.137: Оптимизирующий Кей 6/2013 (Режим АВМ) 


пу тах PROC 
; RO=A 
; В1=В 
; сравнить А и В: 
СМР г9, г1 
; вернуть В вместо А копируя В в RO 
; эта инструкция сработает только если А<=В (т.е. LE - Less ог Equal, меньше 
или равно) 
; если инструкция не сработает (в случае А>В), 


; А всё еще в регистре RO 
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ту 


П 


, 


МОМЕ г, г1 


ВХ lr 
ENDP 

_min PROC 

RO=A 

R1=B 

сравнить А n B: 
CMP г9, г1 


вернуть В вместо А копируя В в RO 


эта инструкция сработает только если А>=В (т.е. СЕ - Greater ог Equal, 


больше или равно) 
если инструкция не сработает (в случае А<В), 
А всё еще в регистре RO 
МО\СЕ rO,r1 
BX tr 
ENDP 


Оптимизирующий ССС 4.8.1 и оптимизирующий MSVC 2013 могут использовать 
инструкцию СМ0\сс, которая аналогична МО\сс в АВМ: 


Листинг 1.138: Оптимизирующий MSVC 2013 


ту 


, 


my 


, 


_тах: 
тоу едх, DWORD PTR [еѕр+4] 
mov eax, DWORD PTR [esp+8] 

EDX=A 

EAX=B 

сравнить А n B: 
cmp edx, eax 


если А>=В, загрузить значение А B EAX 
в противном случае, эта инструкция ничего не делает (если А<В) 
cmovge eax, edx 


ret 
min: 
mov edx, DWORD PTR [esp+4] 
mov eax, DWORD PTR [esp+8] 
EDX=A 
EAX=B 
сравнить А n B: 
cmp edx, eax 


если A<=B, загрузить значение А B EAX 

в противном случае, эта инструкция ничего не делает (если А>В) 
cmovle eax, edx 
ret 


64-bit 


#i 


in 


{ 


nclude <stdint.h> 


164 t ту тах(1п+64 t a, int64 t b) 
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if (a>b) 
return a; 
else 
return b; 
}; 
int64 t ту min(int64 t a, int64 t b) 
{ 
if (a<b) 
return a; 
else 
return b; 
}; 


Тут есть ненужные перетасовки значений, но код в целом понятен: 


Листинг 1.139: Неоптимизирующий ССС 4.9.1 ARM64 


пу тах: 
sub sp, sp, #16 
str x0, [sp,8] 
str х1, [sp] 
ldr x1, [sp,8] 
ldr x0, [sp] 
cmp х1, x0 
ble . L2 
ldr x0, [sp,8] 
b 13 
‚12: 
ldr x0, [sp] 
.[3: 
ааа sp, sp, 16 
ret 
my_min: 
sub sp, sp, #16 
str x0, [sp,8] 
str x1, [sp] 
ldr x1, [sp,8] 
ldr x0, [sp] 
cmp х1, x0 
bge ‚15 
1аг х0, [5р,8] 
b ‚16 
‚15: 
ldr x0, [sp] 
‚16: 
ааа sp, sp, 16 
ret 


Без переходов 
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Нет нужды загружать аргументы функции из стека, они уже в регистрах: 


Листинг 1.140: Оптимизирующий ССС 4.9.1 x64 


ту тах: 

; КОТ=А 

; RSI=B 

; сравнить А и В: 
стр гаі, rsi 

; подготовить В в ВАХ для возврата: 
тоу гах, rsi 


; если А>=В, оставить А (ВОТ) в ВАХ для возврата. 


; в противном случае, инструкция ничего не делает (если А<В), 
остается В | 
cmovge гах, гаі 


ret 

my_min: 

; RDI=A 

; RSI=B 

; сравнить А n B: 
стр гаі, rsi 

; подготовить В в ВАХ для возврата: 
тоу гах, rsi 


; если А<=В, оставить А (RDI) в ВАХ для возврата. 


; в противном случае, инструкция ничего не делает (если А>В), 
остается _В | 
стоме гах, гаі 


геї 


и в ВАХ 


и в ВАХ 


MSVC 2013 делает то же самое. 


В АВМ64 есть инструкция CSEL, которая работает точно также, как и MOVCC в 


АВМ и СМО\сс в x86, но название другое: «Conditional SELect». 


Листинг 1.141: Оптимизирующий ССС 4.9.1 АКМ64 


ту тах: 

; ХӨ=А 

; Х1=В 

; сравнить А и В: 
стр х0, х1 

; выбрать ХӨ (А) в ХӨ если ХӨ>=Х1 или А>=В (Greater ог Equal: больше или 

равно) 

; выбрать ХІ (В) в ХӨ если А<В 
csel x0, x0, x1, ge 
ret 

my_min: 

; ХӨ=А 

; Х1=В 

; сравнить А и В: 
стр х0, х1 


; выбрать ХӨ (А) в ХӨ если ХӨ<=Х1 (Less ог Equal: меньше или равно) 


; выбрать Х1 (В) в ХӨ если А>В 
csel x0, x0, x1, le 
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геї 


MIPS 
А ССС 4.4.5 для MIPS не так хорош, к сожалению: 


Листинг 1.142: Оптимизирующий ССС 4.4.5 (IDA) 


ту тах: 
; установить $\1 в 1, если $а1<$аб, в противном случае очистить (если 
$а1>$а0) : 
slt $v1, $al, $a0 
; переход, если в $\1 ноль (или $а1>$а0): 
beqz $v1, locret_10 
; это branch delay slot 
; подготовить $al в $\0 на случай, если переход сработает: 


поме $\0, $al 
; переход не сработал, подготовить $а0 в $\0: 
поме $\0, $аб 
1осгеї 10: 
jr $ra 
or $at, $zero ; branch delay slot, NOP 


; функция min() точно такая xe, 
; но входные операнды в инструкции SLT поменяны местами: 


пу тіп: 
slt $v1, $a0, $al 
beqz $v1, locret_28 
move $\0, $al 
move $\0, $а0 
locret_28: 
jr $ra 
or $at, $zero ; branch delay slot, NOP 


Не забывайте о branch delay slots: первая MOVE исполняется перед BEQZ, вторая 
MOVE исполняется только если переход не произошел. 

1.18.5. Вывод 

х86 

Примерный скелет условных переходов: 


Листинг 1.143: х86 


СМР register, гед15%ег/уа\ие 

Эсс true ; сс=код условия 

false: 

;... Код, исполняющийся, если сравнение ложно ... 
ЭМР ех1ї 

true: 
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;... Код, исполняющийся, если сравнение истинно ... 
ех1ї: 


ARM 


Листинг 1.144: ARM 


CMP register, register/value 
Bcc true ; сс=код условия 


Ға1ѕе: 

;... Код, исполняющийся, если сравнение ложно ... 
JMP exit 

true: 

;... Код, исполняющийся, если сравнение истинно ... 
ех1ї: 

МР$ 


Листинг 1.145: Проверка на ноль 


BEQZ REG, label 


Листинг 1.146: Меньше ли нуля? (используя псевдоинструкцию) 


BLTZ REG, label 


Листинг 1.147: Проверка на равенство 


BEQ ВЕб1, REG2, label 


Листинг 1.148: Проверка на неравенство 


BNE ВЕб1, REG2, label 


Листинг 1.149: Проверка на меньше (знаковое) 


SLT REG1, REG2, ВЕСЗ 
BEQ REG1, label 


Листинг 1.150: Проверка на меньше (беззнаковое) 


SLTU ВЕб1, ВЕС2, ВЕСЗ 
BEQ REG1, label 
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Без инструкций перехода 


Если тело условного выражения очень короткое, может быть использована ин- 
струкция условного копирования: МО\сс в АВМ (в режиме АВМ), CSEL в АВМ64, 
СМО\сс в х86. 


АКМ 
В режиме ARM можно использовать условные суффиксы для некоторых NH- 


струкций: 


Листинг 1.151: АВМ (Режим АВМ) 


СМР register, гед15%ег/уа\ие 

іпѕіг1 сс ; инструкция, которая будет исполнена, если условие истинно 
іпѕїг2 сс ; еще инструкция, которая будет исполнена, если условие истинно 
Ве НИД 


Нет никаких ограничений на количество инструкций с условными суффиксами 
до тех пор, пока флаги CPU не были модифицированы одной из таких инструк- 
ций. 


В режиме Thumb есть инструкция ІТ, позволяющая дополнить следующие 4 
инструкции суффиксами, задающими условие. 


Читайте больше об этом: 1.25.7 (стр. 331). 


Листинг 1.152: ARM (Режим Thumb) 


СМР register, гед15%ег/уа\ие 
ТТЕЕЕ EQ ; выставить такие суффиксы: if-then-else-else-else 


instr1 ; инструкция будет исполнена, если истинно 
instr2 ; инструкция будет исполнена, если ложно 
instr3 ; инструкция будет исполнена, если ложно 
instr4 ; инструкция будет исполнена, если ложно 


1.18.6. Упражнение 


(АВМ64) Попробуйте переписать код в листинг.1.132 убрав все инструкции 
условного перехода, и используйте инструкцию CSEL. 


1.19. Взлом ПО 


Огромная часть ПО взламывается таким образом — поиском того самого места, 
где проверяется защита, донгла (8.6 (стр. 1047)), лицензионный ключ, серий- 
ный номер, ит. д. 


Очень часто это так и выглядит: 
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call сһеск рготес+іоп 

jz ай ок 

call message бох рготесііоп missing 
call exit 

all ок: 

; proceed 


Так что если вы видите патч (или “крэк”), взламывающий некое ПО, и этот патч 
заменяет байт(ы) 0х74/0х75 (]2/] М2.) на ОхЕВ (JMP), то это оно и есть. 


Собственно, процесс взлома большинства ПО сводится к поиску того самого 
ЈМР-а. 


Но бывает и так, что ПО проверяет защиту время от времени, это может быть 
донгла, или ПО может через интернет проверять сервер лицензий. Тогда при- 
ходится искать ф-цию, проверяющую защиту. Затем пропатчить, вписав туда 
хог eax, eax / retn, либо mov eax, 1 / retn. 


Важно понимать, что пропатчив начало ф-ции двумя инструкциями, обычно, 
за ними остается некий мусор. Он состоит из куска одной из инструкций и 
нескольких последующих инструкций. 


Вот реальный пример. Начало некоей ф-ции, которую мы хотим заменить на 
return 1; 


Листинг 1.153: Было 


ЗВЕЕ mov edi,edi 

55 push ebp 

8BEC mov ebp,esp 
81EC68080000 sub esp, 000000868 
A110C00001 mov eax, [00100C010] 
3365 хог еах,ебр 

8945ЕС mov [ebp] [-4] ‚ eax 
53 push ebx 


8В5008 тоу ерх, [ебр] [8] 


Листинг 1.154: Стало 


в801000000 mov eax,1 

Сз retn 

EC in al,dx 
68080000A1 push 0A1000008 
10С0 аас al,al 

0001 add [ecx],al 

3365 хог eax, ebp 
8945FC mov [ebp] [-4] ‚ eax 
53 push ebx 

8В5008 тоу ebx, [ebp] [8] 
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Появляются несколько некорректных инструкций — ІМ, PUSH, ADC, ADD, затем 
дизассемблер Ніем (котором я только что воспользовался) синхронизируется 
и продолжает дизассемблировать корректно остальную часть ф-ции. 


Всё это не важно — все эти инструкции следующие за ВЕТМ не будут испол- 
няться никогда, если только на какую-то из них не будет прямого перехода 
откуда-то, чего, конечно, в общем случае, не будет. 


Также, нередко бывает некая глобальная булева переменная, хранящая флаг, 
зарегестрированно ли ПО или нет. 


111% еїс proc 


call сһеск ргоесТіоп ог license file 
mov 15 дето, eax 

retn 

init_etc endp 

save _ file proc 

mov еах, 15 demo 

cmp еах, 1 

jz ай 0K1 


call message box it 15 а demo no saving_allowed 
retn 


:all_0K1 
; continue saving file 


save_proc endp 
somewhere else proc 


mov еах, 15 demo 
cmp еах, 1 
jz ай ок 


; check if ме гип for 15 minutes 
; exit if it is so 
; or show nagging screen 


:all_0K2 
; continue 
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somewhere else епар 


Тут можно или патчить начало ф-ции check protection or license file(), 
чтобы она всегда возвращала 1, либо, если вдруг так лучше, патчить все ин- 
струкции JZ/JNZ. 


Еще немного о модификации файлов: 10.2. 


1.20. Пранк: невозможность выйти из Windows 7 


Я уже не помню, как я нашел ф-цию ExitWindowsEx() в Windows 98 (это был 
конец 1990-х), в файле user32.dll. Вероятно я просто заметил само себя описы- 
вающее имя. И затем я попробовал заблокировать ей изменив первый байт на 
0хСЗ (RETN). 


В итоге стало смешно: из Windows 98 нельзя было выйти. Пришлось нажимать 
на кнопку геѕеї. 


И вот теперь, на днях, я попробовал сделать то же самое в Windows 7, создан- 
ную почти на 10 лет позже, на базе принципиально другой Windows МТ. И все 
еще, ф-ция ЕхіїМіпаомѕЕх () присутствует в файле и5ег32.а1 и служит тем же 
целям. 


В начале, я отключил Windows File Protection добавив это в реестр (а иначе 
Windows будет молча восстанавливать модифицированные системные файлы): 


Windows Registry Editor Version 5.00 


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"SFCDisable"=dword: ffffff9d 


Затем я переименовал cC:\windows\system32\user32.dll B user32.dll.bak. Я 
нашел точку входа ф-ции ExitWindowsEx() в списке экспортируемых адресов 
в Нем (то же можно было бы сделать и в IDA) и записал туда байт ОхСЗ. Я 
перезагрузил Windows 7 и теперь её нельзя зашатдаунить. Кнопки ”Веѕїаќ” и 
"ГодоН” больше не работают. 


Не знаю, смешно ли это в наше время или нет, но тогда, в конце 90-х, мой 
товарищ отнес пропатченный файл user32.dll на дискете в свой университет 
и скопировал его на все компьютеры (бывшие в его доступе, работавшие под 
Windows 98 (почти все)). После этого, выйти корректно из Windows было нель- 
зя и его преподаватель информатики был адово злой. (Надеюсь, он мог бы 
простить нас, если он это сейчас читает.) 


Если вы делаете это, сохраните оригиналы всех файлов. Лучше всего, запус- 
кать Windows в виртуальной машине. 


1.21. switch()/case/default 


1.21.1. Если вариантов мало 
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#include <stdio.h> 


void f (int a) 


{ 
switch (a) 
{ 
case 0: printf ("zero\n"); break; 
case 1: printf ("one\n"); break; 
case 2: printf ("two\n"); break; 
default: printf ("something unknown\n"); break; 
}; 

}; 

int main() 

{ 
f (2); // test 

}; 

x86 


Неоптимизирующий MSVC 


Это дает в итоге (MSVC 2010): 
Листинг 1.155: М$\УС 2010 


tv64 = -4 ; size= 4 
_а$ = 8 ; 51е = 4 
f PROC 
push ebp 
mov ebp, esp 
push ecx 


mov eax, DWORD PTR _a$[ebp] 
mov DWORD PTR tv64[ebp], eax 
cmp DWORD PTR tv64[ebp], 9 


je SHORT $LN4@f 
cmp DWORD PTR tv64[ebp], 1 
je SHORT $LN3@f 
cmp DWORD PTR tv64[ebp], 2 
je SHORT $LN2@f 
jmp SHORT $LN1@f 

$LN4@f 


push OFFSET $56739 ; 'zero', бан, оон 
call printf 

add esp, 4 

jmp SHORT $LN7@f 


push OFFSET $56741 ; 'one', дан, оон 
call printf 

add esp, 4 

SHORT $LN7@f 
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push OFFSET $56743 ; 'їмо', бан, оон 
call printf 
add esp, 4 
jmp SHORT $LN7@f 
$LN1Gf : 
push OFFSET $56745 ; 'something unknown', бан, ӨӨН 
call printf 
add esp, 4 


$LN7Gf : 
mov esp, ebp 
pop ebp 
ret 0 

f ENDP 


Наша функция с оператором switch(), с небольшим количеством вариантов, это 
практически аналог подобной конструкции: 


void f (int а) 
{ 
if (a==0) 
printf ("zero\n"); 
else if (a==1) 
printf ("one\n"); 
else if (a==2) 
printf ("two\n"); 
else 
printf ("something unknown\n"); 


}; 


Когда вариантов немного и мы видим подобный код, невозможно сказать с уве- 
ренностью, был ли в оригинальном исходном коде switch(), либо просто набор 
операторов if(). 


То есть, switch() это синтаксический сахар для большого количества вложен- 
ных проверок при помощи if(). 


В самом выходном коде ничего особо нового, за исключением того, что ком- 
пилятор зачем-то перекладывает входящую переменную (а) во временную в 
локальном стеке \6471. 


Если скомпилировать это при помощи ССС 4.4.1, то будет почти то же самое, 
даже с максимальной оптимизацией (ключ -03). 


Оптимизирующий М$\С 


Попробуем включить оптимизацию кодегенератора MSVC (/0х): с1 1.с /Ға1.аѕт 
/0х 


Листинг 1.156: MSVC 


91 Локальные переменные в стеке с префиксом tv — так М$\С называет внутренние переменные 
для своих нужд 
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аф = 8 ; 51ге = 4 


f PROC 
mov eax, DWORD PTR _a$[esp-4] 
sub eax, 0 
je SHORT $LN4@f 
sub eax, 1 
je SHORT $LN3@f 
sub eax, 1 
je SHORT $LN2@f 
mov DWORD PTR _a$[esp-4], OFFSET $56791 ; 'something unknown', бан, 
p _printf 
$LN2@f : 
mov DWORD PTR _a$[esp-4], OFFSET $56789 ; 'two', бан, 00Н 
jmp _printf 
$LN3G@f : 
mov DWORD PTR _a$[esp-4], OFFSET $56787 ; 'опе', бан, OOH 
jmp _printf 
МАҒ : 
mov DWORD PTR _a$[esp-4], OFFSET $56785 ; 'zero', бан, OOH 
jmp _printf 
f ENDP 


Вот здесь уже всё немного по-другому, причем не без грязных трюков. 


Первое: а помещается в ЕАХ и от него отнимается 0. Звучит абсурдно, но нужно 
это для того, чтобы проверить, 0 ли в ЕАХ был до этого? Если да, то выставится 
флаг 2Е (что означает, что результат вычитания 0 от числа стал 0) и первый 
условный переход ЈЕ (Jump if Equal или его синоним JZ — Jump if Zero) сработает 
на метку $1№4@т, где выводится сообщение '2его'. Если первый переход не 
сработал, от значения отнимается по единице, и если на какой-то стадии в 
результате образуется 0, то сработает соответствующий переход. 


И в конце концов, если ни один из условных переходов не сработал, управле- 
ние передается printf() со строковым аргументом 'something ипКпомп'. 


Второе: мы видим две, мягко говоря, необычные вещи: указатель на сообще- 
ние помещается в переменную а, и затем ргіпі?# () вызывается не через CALL, 
а через ЈМР. Объяснение этому простое. Вызывающая функция заталкивает в 
стек некоторое значение и через CALL вызывает нашу функцию. САШ в свою 
очередь заталкивает в стек адрес возврата (КА) и делает безусловный пере- 
ход на адрес нашей функции. Наша функция в самом начале (да и в любом её 
месте, потому что в теле функции нет ни одной инструкции, которая меняет 
что-то в стеке или в ESP) имеет следующую разметку стека: 


e ESP— хранится ВА 
e ESP+4 — хранится значение а 


С другой стороны, чтобы вызвать ргіпі? (), нам нужна почти такая же размет- 
ка стека, только в первом аргументе нужен указатель на строку. Что, собствен- 
но, этот код и делает. 


Он заменяет свой первый аргумент на адрес строки, и затем передает управ- 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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ление printf(), как если бы вызвали не нашу функцию Т(), а сразу printf(). 
рг1пїТ() выводит некую строку на stdout, затем исполняет инструкцию ВЕТ, 
которая из стека достает ВА и управление передается в ту функцию, которая 
вызывала Т(), минуя при этом конец функции Т(). 


Всё это возможно, потому что printf() вызывается в #() в самом конце. Всё 
это чем-то даже похоже на 1опојтр()??. И всё это, разумеется, сделано для 
экономии времени исполнения. 


Похожая ситуация с компилятором для ARM описана в секции «printf() с несколь- 
кими аргументами» (1.11.2 (стр. 73)). 


92wikipedia 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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OllyDbg 


Tak как этот пример немного запутанный, попробуем оттрассировать его в 
OllyDbg. 


OllyDbg может распознавать подобные switch()-KOHCTpyKUMN, так что он добав- 
ляет полезные комментарии. ЕАХ в начале равен 2, это входное значение функ- 
ции: 


CPU - тат геад, module few 
$ 864424 04 МОУ EAX, DWORD РТВ 55: [АБб. 17 

. 83E8 00 SUB В 

74 за 08 SHORT 00771039 т "Нв" 
74 IF JZ SHORT 98ЕЕ182В 
48 DEC EAX 


74 ВЕ JZ SHORT 88221810 
С74424 04 MOU DWORD PTR "something unknowi 


"тшс", case 2 of 


FF. 
› ПОҒҒ 1904 f 
a 


"опе", case 1 of 


С! 
S9: [ARG. 11], OFFSET @Ө@ӨЕЕЗ@@ "его", сазе O of 
DS: [<&MSUCR100.printf>] 


ØLFFFFFFFF) 
ØLFFFFFFFF) 
В(ЕЕРЕЕЕЕЕ) 
В(ЕЕЕЕЕЕЕЕ) 
ТЕЕПО@ЙЙ(ЕРЕ) 
ВГЕРЕРЕЕЕЕ) 


r2 6F| И 10 00 йй БЕ 5 ø 19 йй йй йй 


ASCII (ANSI - C: 
a п 

тм 
9 


RETURN from f 
ASCII "р 


9 — 4ТартлКЯ 
НО hN# 


Рис. 1.42: OllyDbg: EAX содержит первый (и единственный) аргумент функции 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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0 отнимается от 2 в EAX. Конечно же, EAX всё ещё содержит 2. Но флаг ZF Te- 
перь 0, что означает, что последнее вычисленное значение не было нулевым: 


CPU - тат thread, module few 


8B4424 04 МОУ EAX, DWORD РТВ SS:[ARG.1] 
83Е8 00 Switch (cases 0..2, 4 е; 
е 


ЕС 

74 1Е Чё SHORT 98РЕ182В 
48 ПЕС EAX 

74 ВЕ JZ SHORT 88221810 
674424 04 MOU DWORD PTR 55: СААС. 11, ОРЕЗЕТ 9822381: ASCII "something unknown 
FF25 JMP DWORD PTR DS:[<&MSUCR100.printf>] 

MOU DWORD PTR SS:[ARG. 1], ОРЕЗЕТ 98223811 ASCII ”twog”, case 2 of 
JMP DWORD PTR DS:[<&MSUCR100.printf>] 
MOU DWORD PTR 55: СААС. 1], ОҒРЅЕТ 9822388: ASCII "опе ", case 1 of 
JMP DWORD PTR DS:[<&MSUCR100.printf>] 
MOU DWORD РТВ $$: [АВб. 11, OFFSET 88223881 ASCII "zero", case @ of 
оон РТВ DS:[<&MSUCR100.printf>] 


ЕЕЕЕЕЕЕЕ) 
ЕЕЕЕЕЕЕЕ) 
ЕЕЕЕЕЕЕЕ) 
ЕЕЕЕЕЕЕЕ) 
Е00888(ЕЕЕ) 
FFFFFFFF) 


RETURN from 
FF FF FF FF ASCII "р" 
FE FF FF FF 4TuFTAKil 

9 (ж hN# 


то 


4 


Рис. 1.43: OllyDbg: SUB исполнилась 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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DEC исполнилась и EAX теперь содержит 1. Но 1 не ноль, так что флаг ZF всё 
ещё 0: 


8684424 04 MOU EAX, DWORD PTR $$: САКВ. 1] 
83ЕЗ 00 SUB ЕЯХ, Ø 

74 30 Чё SHORT 88521939 
48 ОЕС ЕЯХ 

к 1F JZ SHORT ØØFF1028 


DEC ЕЯХ 

74 ВЕ JZ SHORT 88221810 е 

Ст4424 04 MOV DWORD РТВ 55: [ЯВб.11,ОРЕЗЕТ 9857381: ASCII "something unknown 
F25 PTR 05: [<&MSUCR100.printf>] 

РТВ 55: ГЯКб. 1], OFFSET 88273911 ASCII "two", case 2 of 
PTR 05: [<&MSUCR100.printf>] 
РТВ 55: АКБ. 1], OFFSET 8822398: ASCII "опе", сазе 1 of 
PTR 05: [<&MSUCR100.printf>] 
РТВ 55: ГАКб. 1], OFFSET 98273981 ASCII "гегой", case 0 of 
DS: [<&MSUCR100.printf>] 


Switch (cases 8..2, 4 е 


FDODOO( FFF) 
(ЕРЕРЕРЕЕ) 


2] 


зітттттттт 


р is not taken 
Dest=few. BØFF1028 


rom 
RETURN from 


ASCII ”pN#” 


FF FF FF FF 
FE FF FF FF 


9  4TuFTaKil 
Н+ В 


Рис. 1.44: OllyDbg: первая DEC исполнилась 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Следующая DEC исполнилась. EAX наконец О и флаг ZF выставлен, потому что 
результат — ноль: 


СРО - тат thread, module few 


$ 884424 04 |100 EAX, DWORD РТА 55: САК. 11 
83Е8 00 508 ЕАХ, а Switch (cases 0..2, 4 е 
74 38 J2 SHORT @9Е1839 CII "Нб" 


48 С EAX 
рч 1F чё РОТ 9882-1828 


74 ВЕ а «зонт ТИ 

НН 94 МО В $$: ГАВб. 11, OFFSET 88ЕР381{ ASCII "something unknown 
D PIR 05:[<&М50СА1йй„ргїп# >1 
РТВ 5$5:[НЕб.11,ОЕЕ5$ЕТ Еа! ASCII "тыс", case 2 of 
РТВ 05: [<&MSUCR100. printf > 
PTR 55: ГАН. 11, OFFSET ов ASCII "опе ", case 1 of 


ЕІР боега few. 89221980 


PTR DS: [<&MSUCRI OO. printf>] БЕ OERE 

PTR 55: СААБ. 11, OFFSET 88РЕ380{ ASCII "zero", case 8 of (ЕЕЕЕЕЕЕЕ) 

DS: [<&MSUCR1O0. printf >1 Я(ЕЕЕЕЕЕЕЕ) 
ТЕРООВ ЯВ (ЕЕЕ) 

В(ЕЕРЕРЕЕЕ) 


том 


RETURN from fı 


g unknown ASCII "рМ" 


[5] 4ТиРтлК 
Hi# hN# 


Рис. 1.45: OllyDbg: вторая DEC исполнилась 


OllyDbg показывает, что условный переход сейчас сработает. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Указатель на строку «two» сейчас будет записан в стек: 


CPU - тат thread, module few 


$ 364424 04 MOU EAX, DWORD РТВ 55: ГАБб. 11 
. 83E8 00 SUB ЕЯХ, В Switch (cases 0..2, 
57 р 30 JZ SHORT ØØFF1039 
JZ SHORT ØØFF1028 
JZ SHORT ØØFF1010 А 
MOU DWORD РТВ 55: САКАВ. 11, ОРЕЗЕТ 9822381: ASCII "something unknown 
JMP DWORD РТВ 05: С<%М50СК100. ргіп# >] 
A) МОУ DWORD РТВ 55: СЯБ. 11, ЕТ ØØFF3ØLI ASCII "емс", case 2 of 

а DWORD РТВ DS:[<&MSUCR100.printf>] 
94 DWORD РТВ 55: ГАВб. 11, 0FFSET 98ЕР388: ASCII "опе ", сазе 1 of 
й DWORD РТВ DS:[<&MSUCR100.printf>] 
94 DWORD РТВ 55: ГАКб. 11, ОРРЕЗЕТ 98273801 ASCII "гегоШ”, case 0 of 

й DWORD РТВ DS:[<&MSUCR100.printf>] 


4е 


йй 


> ӨӨЕЕ1@10 + 


’) T anD 


D 
I 


ОСЕЕЕЕЕЕЕЕ) 
В(ЕРЕЕЕЕЕЕ) 
yit В(РЕРЕРЕЕЕ) 
yit ØLFFFFFFFF) 
yit 7ЕЕППӘЙЙ(ЕЕРЕ) 
OI FFFFFFFF) 


mm=few. BOFF3010, ASCII 
Stack [Ø001EF850]=2 
Jump from ØFF1000 


МИТЕЕВАИТЕ ИЙАЙЙИИС 
j Е ИВ СН] = RETURN from 


са 
ипкпошп ASCII "рН#” 


©  4ТиртяЮ 
Ніж hN# 


Рис. 1.46: OllyDbg: указатель на строку сейчас запишется на место первого 
аргумента 


Обратите внимание: текущий аргумент функции это 2 и 2 прямо сейчас в стеке 
по адресу 0x001EF850. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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MOV записывает указатель на строку по адресу 0x001EF850 (см. окно стека). Me- 
реход сработал. Это самая первая инструкция функции printf () в MSVCR100.DLL 
(этот пример был скомпилирован с опцией /МО): 


СРО - main thread, module MSVCR100 


PUSH ӨС 
68 23056446E |PUSH 6Е445638 

ЕВ CØBSFAFF |CALL 6ЕЗЕ8958 

330 XOR EAX, EAX 

XOR ESI, ESI 

CMP DWORD PTR 55: СЕВР+81,Е51 
SETNE AL 

CMP EAX, ESI 

75 15 JNE SHORT 6Е445563 
ЕВ 72B2FAFF |CALL _errno 


Став 1600000 MOUV DWORD PTR DS:[CEAX], 16 
ЕВ 00590200 


EDI Ø 33 fe 
EIP 6E445584 M 


CMSUCR100._errno 
CONST 16 => ЕХОЕУ 
CALL invalid- parameter noinfo CMSUCR100._invalid_parar 


190. printf 


Е @(ЕЕЕЕЕЕЕЕ) 

83с8 FF ОВ EAR, FFFFFFFF Е 

ЕВ БЕ ИР SHÓRT 6Е445612 н ЕЕ 

ЕВ ?ВЕҒАҒҒ |CALL _iob_func т Ө ЕЕРЕРЕРЕ) 

6A 20 PUSH 20 ] 7EFDDØOAI FFF) 
POP EBX OLFFFFFFFF) 


ADD EAX, EBX 
PUSH EAX 


| 1=1 
MSUCR100. 6ESFA9B9 


И с] 
g чпкпошп@ 


ASCII ”pN#” 


Ə  4TuFTaKil 
Нсж ҺМж 


Рис. 1.47: OllyDbg: первая инструкция в printf() в MSVCR100.DLL 


Теперь printf() считает строку на 0х00ЕЕ3010 как свой единственный аргу- 
мент и выводит строку. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Это самая последняя инструкция функции printf(): 


CPU - main thread, module MSVCR100 


58 РОЗН EAX 

56 PUSH ESI 

РТБ 08 PUSH ОШОВО РТВ 55: СЕВР+82 

ЕВ 49E4FAFF |CALL ОБ funo 

58 PUSH EAX 08002008 

ЕВ 2Е710108 |CALL 6Е45С710 Ф01ЕРӘ4С 

8945 Ed р 190 DWORD PTR 85: CEBP-1C1, EAX 901ЕР894 
= lOD FUNC =. 

93С3 ADD EAR, EBR EDI ВОЕЕЗЗАВ fe 


"айтуу ж э э ө э э ө ө э ө ө э э ө э э 


pa Push ЕВЕ [ EIP 6E445617 M Ч Е44561Р 
31 20289 ò 

Её АСВОЕВЕЕ |CALL _6E4006AC MSUCR100. 6E4006AC РГЕ ВЕРРЕГЕЕЕЕТ 

8304 18 ADD ЕР, 18 bit ØLFFFFFFFF) 

745 РС ҒЕЕРІ MOU DWORD PTR 55: [ЕВР-41,-2 pit АГРЕРРЕРЕЕЈ 

Ва ЕЗ ООО [AOU EAR DORO PTR $5:ГЕВР-1С1 bit СЕЕООВОВСЕРР) 

ES ?ЕВЗҒАЕЕ |CALL 6ESF0995 Е ВИ Е ВЕТЕР? 

с RETN | O ERROR 

ЕВ 13E4FAFF |CALL __iob_func ' 

83С8 28 


НОО EAX, 20 Е, ВЕ, М 


g unknown 


[5] 4ТчЕтгл Кї 
Н+ hN# 


D 


SCII "рН#” 


Рис. 1.48: OllyDbg: последняя инструкция B printf() в MSVCR100.DLL 


Строка «two» была только что выведена в консоли. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Нажмем F7 или F8 (сделать шаг, не входя в функцию) и вернемся...нет, не в 
функцию #() но в таіп(): 


6A 02 РИЗН 2 

ЕЗ ЯЭРРЕРЕЕ |CALL 88571988 
83C4 04 

XOR EAX, EAX 
RETN 


t @(ЕЕЕЕЕЕЕЕ) 


©З 
PUSH ӨВЕЕ 1429 в: @РЕЕЕЕЕЕЕ" 


ЕВ бешзйаой |CALL ООРЕ1ЗЕП 7 : 
MOU ERX, DWORD РТВ 08; (07739742 58 Е e) 
EE i Йй $ @(ЕЕЕЕРЕРЕ) 
О РТВ 05: 1бгЕздез1, EAX ра > вовоөедә ERROR 
OFFSET 98223654 833 эй НЕ 


ИЕ! 
ЕЅР=001ЕҒ850, PTR to ASCII ”twog” 


II "шош" 
RETURN к fe 
ASCII 


"р" 


" Ө 4ТчЕтглКї| 
нж hN# 


Рис. 1.49: OllyDbg: возврат в main() 


Да, это прямой переход из внутренностей ргіпі? () в таіп(). Потому как ВА 
в стеке указывает не на какое-то место в функции Т() а в main(). И CALL 
0х00ЕЕ1000 это инструкция вызывающая функцию Т(). 


ARM: Оптимизирующий Кей 6/2013 (Режим АВМ) 


.Хехї:0000014С #1: 
.text:0000014C 00 00 50 ЕЗ СМР RO, #0 
.text:00000150 13 ОЕ 8F 02 ADREQ RO, а4его ; "zero\n" 


.text:00000154 05 00 00 0А BEQ loc 170 
.text:00000158 01 00 50 E3 CMP RO, #1 
.text:0000015C 4B ӨЕ 8F 02 ADREQ RO, абпе ; "опе\п" 
.text:00000160 02 00 00 0А BEQ loc_170 


.text:00000164 02 00 50 ЕЗ СМР RO, #2 
.text:00000168 ДА OF ЗЕ 12  ADRNE RO, aSomethingUnkno ; "something 


unknown\n" 
.text:0000016C 4E OF 8F 02 ADREQ RO, атмо ; "two\n" 
„.Техт: 00000170 
.text:00000170 loc_170: ; CODE XREF: f1+8 
„.Техт: 00000170 ; 11+14 
.1ехї:00000170 78 18 00 EA В _ 2printf 


Мы снова не сможем сказать, глядя на этот код, был ли в оригинальном исход- 
ном коде switch() либо же несколько операторов if(). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Так или иначе, мы снова видим здесь инструкции с предикатами, например, 
ADREQ ((Едиа!), которая будет исполняться только если RO = 0, и тогда в RO 
будет загружен адрес строки «гего\п». 


Следующая инструкция BEQ перенаправит исполнение на 10ос 170, если д0 = 0. 


Кстати, наблюдательный читатель может спросить, сработает ли ВЕО нормаль- 
но, ведь АБВЕО перед ним уже заполнила регистр RO чем-то другим? 


Сработает, потому что ВЕО проверяет флаги, установленные инструкцией СМР, 
а ADREQ флаги никак не модифицирует. 


Далее всё просто и знакомо. Вызов printf() один, и в самом конце, мы уже 
рассматривали подобный трюк (1.11.2 (стр. 73)). К вызову функции printf() в 
конце ведут три пути. 


Последняя инструкция СМР RO, #2 здесь нужна, чтобы узнать а = 2 или нет. 


Если это не так, то при помощи ADRNE (Not Equal) в КӨ будет загружен указатель 
на строку «something unknown \п», ведь а уже было проверено на О и 1 до этого, 
и здесь а точно не попадает под эти константы. 


Ну а если R0 = 2, в КӨ будет загружен указатель на строку «two\n» при помощи 
инструкции АРВЕО. 


АКМ: Оптимизирующий Keil 6/2013 (Режим Thumb) 


. text : 00000004 #1: 

.Хехї:00000004 10 B5 РОЅН {R4, LR} 

.text:000000D6 00 28 CMP RO, #0 

.text:000000D8 05 рө BEQ zero_case 

.text:000000DA 01 28 CMP RO, #1 

.text:000000DC 05 00 BEQ one_case 

.text:000000DE 02 28 CMP RO, #2 

.text:000000E0 05 00 BEQ two case 

.text:000000E2 91 Аб ADR RO, aSomethingUnkno ; "something 
unknown\n" 

.text:000000E4 04 EO B default_case 

. text :000000E6 zero_case: ; CODE XREF: f1+4 

.text:000000E6 95 Аб ADR RO, aZero ; "zero\n" 

.text:000000E8 02 ЕО B default_case 

. text : 000000ЕА one_case: ; CODE XREF: f1+8 

.text:000000EA 96 Аб ADR RO, а0пе ; "опе\п" 

.text:000000EC 00 ЕО В default_case 

. text : 000000EE two_case: ; CODE XREF: 11+С 

.text:000000EE 97 Аб ADR RO, аТмо ; "two\n" 

. text :000000F0 default_case ; CODE XREF: f1+10 

. text :000000F0 ; f1+14 

.text:000000F0 06 FO 7E F8 BL _ 2printf 

.text:000000F4 10 BD POP {R4, PC} 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Как уже было отмечено, в Тћитр-режиме нет возможности добавлять услов- 
ные предикаты к большинству инструкций, так что Тћитр-код вышел похожим 
на код X86 в стиле CISC, вполне понятный. 


АКМ64: Неоптимизирующий ССС (Linaro) 4.9 


.LC12: 
.String "zero" 
. LC113: 
.String "опе" 
.LC14: 
„String "two" 
.LC15: 
.String "something unknown" 
f12: 
stp x29, x30, [5р, -32]! 
add x29, sp, 0 
str w0, [x29,28] 
ldr w0, [x29,28] 
cmp w0, 1 
beq . L34 
cmp мо, 2 
beq . L35 
cmp w0, wzr 
bne . L38 ; переход на метку по умолчанию 
айгр x0, .1С12 ; "zero" 
ааа x0, х0, :1012:.1С12 
bl puts 
b ‚132 
‚134: 
аагр х0, .LC13 ; "опе" 
ааа x0, x0, :1012:.1С13 
bl puts 
b . [32 
.135: 
агр x0, .1С14 ; "two" 
add x0, x0, :1012:.1С14 
bl puts 
b ‚132 
‚138: 
аагр x0, .LC15 ; "something unknown" 
add x0, x0, :l012:.LC15 
bl puts 
nop 
. L32: 
1ар x29, x30, [sp], 32 
ret 


Входное значение имеет тип int, поэтому для него используется регистр WO, a 
не целая часть регистра ХӨ. 


Указатели на строки передаются в puts () при помощи пары инструкций ADRP/ADD, 
как было показано в примере «Hello, могіа!»: 1.5.3 (стр. 32). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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АКМ64: Оптимизирующий ССС (Linaro) 4.9 


112: 
стр 
beq 
cmp 
beq 
cbz 
; метка 
айгр 
ааа 
b 
.135: 
агр 
ааа 


. L32: 


. L31: 


м0, 1 


. L31 


м0, 2 


. L32 
м0, 


по умолчанию 


x0, .LC15 

x0, x0, :1012: 
puts 

x0, .LC12 

x0, x0, :1012:. 
puts 

x0, .LC14 

x0, x0, :1012:. 
puts 

x0, .LC13 

x0, х0, :1012:. 
puts 


. L35 


; "something unknown" 
. LC15 


Фрагмент кода более оптимизированный. Инструкция CBZ (Compare and Branch 
оп Zero — сравнить и перейти если ноль) совершает переход если WO ноль. 
Здесь также прямой переход на puts() вместо вызова, как уже было описа- 
но: 1.21.1 (стр. 203). 


MIPS 
Листинг 1.157: Оптимизирующий GCC 4.4.5 (IDA) 

f: 

lui $gp, (пи 1оса1 ор >> 16) 
; это 1? 

11 $0, 1 

beq $a0, $v0, loc 60 

la $gp, (__опи 1оса1_ор & ӨхҒЕЕЕ) ; branch delay slot 
; это 2? 

11 $0, 2 

beq $a0, $v0, loc 4C 

or $at, $zero ; branch delay slot, NOP 
; перейти, если не равно 0: 

bnez $a0, loc 38 

or $at, $zero ; branch delay slot, NOP 
; случай нуля: 

lui $a0, ($1С0 >> 16) # "zero" 

1м $19, (puts & OxFFFF)($gp) 

ог фаї, $тего ; load delay slot, МОР 

jr $t9 ; branch delay slot, NOP 

la фаб, ($LCO & OxFFFF) # "zero" ; branch delay slot 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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loc 38: # CODE XREF: #+1С 

lui $a0, ($LC3 >> 16) # "something unknown" 

1м $19, (puts & ӨхЕЕЕЕ)($др) 

ог фаї, $ғего ; load delay slot, МОР 

jr $t9 

la $a0, ($LC3 & OxFFFF) # "something unknown" ; branch 

delay slot 

loc 4С: # CODE XREF: f+14 

lui $a0, ($LC2 >> 16) # "two" 

lw $19, (puts & OxFFFF)($gp) 

or $at, $zero ; load delay slot, NOP 

jr $t9 

la фаб, ($LC2 & OxFFFF) # "two" ; branch delay slot 
loc 60: # CODE XREF: f+8 

lui $a0, ($LC1 >> 16) # "опе" 

1м $19, (puts & ӨхЕЕЕЕ) ($9р) 

ог фаї, $тего ; load delay slot, МОР 

jr $t9 

la фаб, ($LC1 & OxFFFF) # "one" ; branch delay slot 


Функция всегда заканчивается вызовом puts (), так что здесь мы видим Nepe- 
ход на риї<() (JR: «Jump Register») вместо перехода с сохранением ВА («jump 
апа link»). 


Мы говорили об этом ранее: 1.21.1 (стр. 203). 


Мы также часто видим МОР-инструкции после LW. Это «load delay slot»: ещё 
один delay slot в MIPS. Инструкция после LW может исполняться в тот момент, 
когда LW загружает значение из памяти. 


Впрочем, следующая инструкция не должна использовать результат LW. 


Современные М!Р5-процессоры ждут, если следующая инструкция использует 
результат LW, так что всё это уже устарело, но ССС всё еще добавляет МОР-ы 
для более старых процессоров. 


Вообще, это можно игнорировать. 


Вывод 


Оператор switch() с малым количеством вариантов трудно отличим от приме- 
нения конструкции if/else: листинг.1.21.1. 


1.21.2. И если много 


Если ветвлений слишком много, то генерировать слишком длинный код с мно- 
гочисленными ЈЕ/ЈМЕ уже не так удобно. 


#include <stdio.h> 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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void f (int а) 


{ 
switch (a) 
{ 
case 0: printf ("zero\n"); break; 
case 1: printf ("one\n"); break; 
case 2: printf ("two\n"); break; 
case 3: printf ("three\n"); break; 
case 4: printf ("four\n"); break; 
default: printf ("something unknown\n"); break; 
}; 

}; 

int main() 

{ 
f (2); // test 

}; 

x86 


Неоптимизирующий MSVC 


Рассмотрим пример, скомпилированный B (MSVC 2010): 


Листинг 1.158: MSVC 2010 


tv64 = -4 ; size=4 
_а$ = 8 ; size = 4 
f PROC 
push ebp 
mov ebp, esp 
push ecx 


mov eax, DWORD PTR _a$[ebp] 
mov DWORD PTR tv64[ebp], eax 
cmp DWORD PTR tv64[ebp], 4 
ja SHORT $LN1@f 

mov ecx, DWORD PTR tv64[ebp] 
jmp DWORD PTR $LN11@f[ecx*4] 


push OFFSET $56739 ; 'zero', бан, оон 
call printf 

add esp, 4 

jmp SHORT $LN9@f 


push OFFSET $56741 ; 'one', дан, 00Н 
call printf 

add esp, 4 

jmp SHORT $LN9@f 


push OFFSET $56743 ; 'two', дан, оон 
call printf 
add esp, 4 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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јтр SHORT $LN9@f 
$LN3Gf : 
push OFFSET $56745 ; 'three', бан, Өөн 
call printf 
add esp, 4 
jmp SHORT $LN9@f 
$LN2G@f : 
push OFFSET $56747 ; 'four', бан, OOH 
call printf 
add esp, 4 
jmp SHORT $LN9G@f 
тат: 
push OFFSET $56749 ; 'something unknown', бан, ӨӨН 
call printf 
add esp, 4 


$LN9Gf : 
mov esp, ebp 
pop ebp 
ret 0 
праа 2 ; выровнять следующую метку 
$_3№110#: 
рр $. Мба? ; 0 
рр $LN5@f ; 1 
рр $LN4Gf ; 2 
рр $LN3@f ; 3 
DD $LN2@f ; 4 
f ENDP 


Здесь происходит следующее: в теле функции есть набор вызовов printf() с 
разными аргументами. Все они имеют, конечно же, адреса, а также внутрен- 
ние символические метки, которые присвоил им компилятор. Также все эти 
метки указываются во внутренней таблице $LN11@f. 


В начале функции, если а больше 4, то сразу происходит переход на метку 
$LN1Gf, где вызывается ргіпі+ () с аргументом 'something ипКпомп'. 


А если а меньше или равно 4, то это значение умножается на 4 и прибавляет- 
ся адрес таблицы с переходами ($LN11@f). Таким образом, получается адрес 
внутри таблицы, где лежит нужный адрес внутри тела функции. Например, 
возьмем а равным 2. 2 + 4 = 8 (ведь все элементы таблицы — это адреса BHYT- 
ри 32-битного процесса, таким образом, каждый элемент занимает 4 байта). 
8 прибавить к $LN11@f — это будет элемент таблицы, где лежит $1\№4@т. JMP 
вытаскивает из таблицы адрес $1 №40? и делает безусловный переход туда. 


Эта таблица иногда называется jumptable или branch table”. 


А там вызывается printf() с аргументом 'Ёмо'. Дословно, инструкция jmp 
DWORD РТА $1№11@{1[есх*4] означает перейти по DWORD, который лежит по ag- 
ресу $3110? + ecx * 4. 


праа (.1.7 (стр. 1302)) это макрос ассемблера, выравнивающий начало таблицы, 


93Сам метод раньше назывался computed СОТО В ранних версиях Фортрана: wikipedia. Не очень- 
то и полезно в наше время, но каков термин! 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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чтобы она располагалась по адресу кратному 4 (или 16). Это нужно для того, 
чтобы процессор мог эффективнее загружать 32-битные значения из памяти 
через шину с памятью, кэш-память, ит. д. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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OllyDbg 


Попробуем этот пример B OllyDbg. Входное значение функции (2) загружается 
в ЕАХ: 


CPU - тат геа 


РОЗН ЕВР 
MOU ЕВР, ЕР 
51 РИЗН ЕСК 

3845 @8 MOU EAX, DWORD PTR 55: ГЕВР+87 
8945 FC MOU DWORD PTR SS: C EAX 
8370 ЕС 04 |CMP_DWORD PTR 55:ГЕВР-41,4 
77 БД JA SHORT 91981868 

8840 ЕС MOU ECX, DWORD РТВ 55: ГЕВР-41 
ЕЕ2480 7С198| JMP DWORD PTR 05: ГЕСХ#4+19В197С1 
58 PUSH OFFSET 91983808 format = 
CALL DWORD PTR 05: E<&MSUCRIØÐ.printf>]  (ИВУСА10д. 
JMP SHORT 81981078 | ГЕ ОГЕЕЕЕЕЕЕЕ? 
PUSH OFFSET 01063008 format = ЕЕ 
CALL DWORD РТА DS:[<&MSUCR100.printf>] |LmsucRiog, fE ГЕ ОГЕЕРЕЕЕЕЕЈ 
ОР SADAT 01981078 4 ГЕ ТЕЕВПӘВВ ЕЕЕ) 
PUSH OFFSET 81983810 format = ) х OLFFFFFFFF) 
CALL DWORD РТА 0$:[<®М50СВ1@й.ргїпє#>1 |LMSUCR1O0. 
ADD ESP, 4 

JMP SHORT 01981078 


55 
SBEC 


RETURN from 101 


№ 
й$08| RETURN from lot 


© brhte#Hrt 
(ө һө 


Рис. 1.50: OllyDbg: входное значение функции загружено в EAX 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


222 


Входное значение проверяется, не больше ли оно чем 4? Нет, переход по умол- 
чанию («default») не будет исполнен: 


МО ЕВР ESP 
PUSH ЕСХ 

MOU EAX, DWORD PTR SS:[EBP+8] 
MOU DWORD РТВ 55: СЕВР-47,ЕАХ 
CMP DWORD ыр, 55: ГЕВР-41,4 


HORT 91981969 

МОУ ЕСХ,ОШОВО PTR 55: ГЕВР-41 

ШИР DWORD PTR DS: о 
PUSH OFFSET 01063000 format = 
EAD ОВО PTR 05: [<&MSUCR100.printf>] |CMSUCR100. 
JMP SHORT 01981878 
PUSH OFFSET 01063008 format = 
CALL DWORD PTR DS:[<&MSUCR1ØO.printf>] |CMSUCR100. 
ADD ESP, 4 

JMP SHORT 81981878 
PUSH OFFSET 01063010 format = 
CALL DWORD PTR 05: [<&MSUCR100.printf>] |CMSUCR100. 


с @(ЕЕЕЕЕЕЕЕ) 
t В(ЕЕЕЕЕЕЕЕ) 


< 


t BLFFFFFFFF) 
it РЕРООВВВСЕЕЕ) 
‚ ØLFFFFFFFF) 


< 


+ „му ж жу ж жу, 
›со шогыр 700) т mmm mMM Mm mE 


LastErr 


JMP SHORT 01061078 Б 00000293 


Ө Ътһ#енЧт 
Hie вм 


Рис. 1.51: OllyDbg: 2 не больше чем 4: переход не сработает 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Здесь мы видим jumptable: 


198. ргіпт# >] 


СЕ1@@.ргїпї#>1 


УШСЕ1@@.ргїп# >1 


ЕЕ 
85 Сӣ гэ 08 ЄН 08 ES AG 92 йа 
ES 08 05 йй йа 33 
75 ВВ 53 53 6A 01 53 FF 15 


С 64 ВІ 18 0O йй йй ЗВ 70 04 89 4 Е 


53 56 57 ЕЕ 15 


-20 20 ов пі. 
6 75 08 33 F6 46 89 75 E4 ЕВ 18 68 
F 1534 28 ОВ 01 ЕВ DA 


format = 


MSUCR100. 


format = 


MSUCR100. 


format = 


MSUCR100. 


Уве SE 
38128 эшо» 

B Е 5, д 

ПрөЙй1Ф 

71228500 $8 26; | 


' ®4_дбыгЗУЕ6Я 


mmmmmm mi 


п 
о 


ØLFFFFFFFF) 
@(ЕЕЕЕЕЕЕЕ) 
@(ЕЕЕЕЕЕЕЕ) 
@(ЕЕЕЕЕЕЕЕ) 
7ЕРОО888( ЕЕЕ) 
ØLFFFFFFFF) 


38 ERROR_SUCCESS 
rS, PO, L, LE) 


Рис. 1.52: OllyDbg: вычисляем адрес для перехода используя jumptable 


Кстати, щелкнем по «Follow їп Dump» > «Address constant», так что теперь 
jumptable видна в окне данных. 


Это 5 32-битных значений?“. ECX сейчас содержит 2, так что третий элемент 
(может индексироваться как 29) таблицы будет использован. Кстати, можно 
также щелкнуть «Follow іп Dump» > «Memory address» и OllyDbg покажет эле- 
мент, который сейчас адресуется в инструкции JMP. Это 0х010В103А. 


940ни подчеркнуты в OllyDbg, потому что это также и ЕІХОР-ы: 6.5.2 (стр. 975), мы вернемся к 


ним позже 


9506 индексаци, см.также: 3.20.3 (стр. 760) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Переход сработал и мы теперь на 0х0108103А: сейчас будет исполнен код, Bbl- 
водящий строку «two»: 


CPU - main thread, module lot 

PUSH ЕВР 

МОУ ЕВР,Е5$Р 

5 PUSH ECX 

8B45 08 МОУ EAX, DWORD PTR SS:[EBP+8] 
8945 FC мо! О РТВ 55: [ЕВР-41,ЕЯХ 
8370 РС 04 01 :ГЕВР-41,4 

т? 5A Ji 01981868 

8840 ЕС МОУ ECX, DWORD PTR 55: СЕВР-47 
FF2480 гС190| JMP DWORD РТВ 05: [ЕСХ*4+1968187С1 
68 89390881 |РУЗН OFFSET 01083000 ВАН = "zero 
CALL DWORD PTR 05: С<&%М50СК1080. рг i 6 М5УСВ1 99. printf 
ADD ESP, 4 

JMP SHORT 01061078 
68 18390881 |PUSH OFFSET 010863008 format = "опе" 
ЕЕ15 Ай200Ва CALL DWORD РТВ DS:[<&MSUCR100. рг 1 К М5УСРВ198. printf 


8304 04 ADD Е5Р,4 

ЕВ ЗЕ JMP SHORT 81981878 
10200801 |PUSH OFFSET 01083010 пни = "ечод" 

FF15 CALL DWORD PTR 05: [<&MSUCR100. pr SUCA TOD. printf 


8304 04 ADD ESP, 4 
av ЕВ 2Е ЈМР ЗНОАТ 91981078 


Stack [OOSCFDA4]= lot . 01063068 
Imm=lot. 01083010, ASCII ”twog” 


ØLFFFFFFFF) 
@(ЕЕЕЕЕЕРЕ) 
7ЕРОО888( ЕРЕ) 
@(ЕЕРЕЕЕЕЕ) 


о-огартосо 


а Е 


RETURN from lot.010B100t 


RETURN from lot.010B109t 


Рис. 1.53: OllyDbg: теперь мы на соответствующей метке Case: 


Неоптимизирующий ССС 


Посмотрим, что сгенерирует ССС 4.4.1: 


Листинг 1.159: ССС 4.4.1 


public f 
f proc near ; CODE XREF: main+10 
var_18 = dword ptr -18h 
arg 0 = dword ptr 8 
push ebp 
mov ebp, esp 
sub esp, 18h 
cmp [ebp+arg_0], 
ja short loc 8048444 
mov eax, [ebp+arg_0] 
shl eax, 2 
mov eax, ds:off_804855C[eax] 
jmp eax 


loc_80483FE: ; DATA XREF: .rodata:off_804855C 


mov [esp+18h+var_18], offset aZero ; "zero" 
call _puts 
jmp short locret_8048450 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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1ос 804840С: РАТА XREF: . годаїа:08048560 


тоу [еѕр+18һ+маг 18], offset а0пе ; "опе" 
са11 _puts 
jmp short locret_8048450 
loc 804841А: ; DATA XREF: .rodata:08048564 
mov [esp+18h+var_18], offset аТмо ; "two" 
call _puts 
jmp short locret_8048450 
loc 8048428: ; DATA XREF: .rodata:08048568 
mov [esp+18h+var_18], offset aThree ; "three" 
call _puts 
jmp short locret_8048450 
loc 8048436: ; DATA XREF: .rodata:0804856C 
mov [esp+18h+var_18], offset aFour ; "four" 
call _puts 
jmp short locret_8048450 
loc 8048444: ; CODE XREF: f+A 
mov [esp+18h+var_18], offset aSomethingUnkno ; "something unknown" 
call _puts 
locret_8048450: ; CODE XREF: f+26 
; 1+34... 
leave 
retn 
f endp 
off 804855С dd offset loc 80483ҒЕ ; DATA XREF: f+12 


dd offset loc 804840С 
dd offset loc 804841А 
dd offset 1ос 8048428 
dd offset loc 8048436 


Практически то же самое, за исключением мелкого нюанса: аргумент из агд_0 
умножается на 4 при помощи сдвига влево на 2 бита (это почти то же самое 
что и умножение на 4) (1.24.2 (стр. 282)). Затем адрес метки внутри функции 
берется из массива о??# 804855С и адресуется при помощи вычисленного NH- 
декса. 


АВМ: Оптимизирующий Кей 6/2013 (Режим АВМ) 


Листинг 1.160: Оптимизирующий Кей 6/2013 (Режим АВМ) 


00000174 #2 

00000174 05 00 50 ЕЗ СМР RO, #5 ; switch 5 cases 
00000178 00 F1 82: 30 ADDCC РС, РС, RO,LSL#2 ; switch jump 
0000017C ОЕ 00 00 EA B default_case ; jumptable 00000178 


default case 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


00000180 
00000180 
00000180 


00000184 
00000184 
00000184 


00000188 
00000188 
00000188 


0000018C 
0000018C 
0000018C 


00000190 
00000190 
00000190 


00000194 
00000194 
00000194 
00000194 
00000198 


0000019C 
0000019C 
0000019C 
0000019C 
000001А0 


000001А4 
000001А4 
000001А4 
000001А4 
000001А8 


000001АС 
000001АС 
000001АС 
000001АС 
00000180 


00000184 
00000184 
00000184 
00000184 
00000188 
00000188 
00000188 
00000188 


03 


04 


05 


06 


07 


ЕС 
06 


ЕС 
04 


01 
02 


01 
00 


01 


66 


00 


00 


00 


00 


00 


00 
00 


00 
00 


oC 
00 


oC 
00 


oC 


18 


00 


00 


00 


00 


00 


8F 
00 


8F 
00 


8F 
00 


8F 
00 


8F 


00 


EA 


EA 


EA 


EA 


EA 


E2 


E2 
EA 


E2 


E2 
EA 


E2 


EA 


loc_180 ; 
B 


loc_184 ; 
B 


loc 188 ; 
В 


Тос 18С ; 
В 


1ос 190 ; 
В 
гего саѕе 
ADR 
B 
one_case ; 
ADR 


B 


two_case ; 


CODE XREF: f2+4 
zero_case 


CODE XREF: f2+4 
опе саѕе 


CODE XREF: #2+4 
two_case 


CODE XREF: f2+4 
three case 


CODE XREF: f2+4 
four_case 


; CODE XREF: f2+4 
; f2:loc_180 
RO, azero 
loc_1B8 


CODE XREF: f2+4 
f2:loc_184 

RO, a0ne 
loc_1B8 


CODE XREF: f2+4 


; f2:loc_ 188 


ADR 

B 
three case 

ADR 

B 
four_case 

ADR 
loc_1B8 


B 


RO, aTwo 
loc_1B8 


; CODE XREF: f2+4 
х f2: ТоС 18C 

RO, aThree 
loc_1B8 


; CODE XREF: f2+4 
f2:loc_190 
RO, aFour 


; CODE XREF: f2+24 
; f2+2C 
_ 2printf 


; jumptable 


; jumptable 


; jumptable 


; jumptable 


; jumptable 


; jumptable 


; jumptable 


; jumptable 


; jumptable 


; jumptable 


00000178 


00000178 


00000178 


00000178 


00000178 


00000178 


00000178 


00000178 


00000178 


00000178 


case 0 


case 1 


case 2 


case 3 


case 4 


case 0 


case 1 


case 2 


case 3 


case 4 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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000001ВС 

000001ВС default_case ; CODE XREF: #2+4 

000001BC ; f2+8 

000001BC D4 00 8F E2 ADR RO, aSomethingUnkno ; jumptable 00000178 
default case 

000001С0 ЕС FF FF EA B loc_1B8 


В этом коде используется та особенность режима ARM, что все инструкции в 
этом режиме имеют фиксированную длину 4 байта. 


Итак, не будем забывать, что максимальное значение для а это 4: всё что выше, 
должно вызвать вывод строки «something ипкпомп\п». 


Самая первая инструкция СМР RO, #5 сравнивает входное значение вас 5. 


96 Следующая инструкция ADDCC РС, РС, В0,151#2 сработает только в случае 
если По < 5 (СС=Саггу сеаг/ Less than). Следовательно, если ADDCC не сработает 
(это случай с #0> 5), выполнится переход на метку default саѕе. 


Но если Д0 < 5 и ADDCC сработает, то произойдет следующее. 


Значение в RO умножается на 4. Фактически, 151#2 в суффиксе инструкции 
означает «сдвиг влево на 2 бита». 


Но как будет видно позже (1.24.2 (стр. 281)) в секции «Сдвиги», сдвиг влево 
на 2 бита, это эквивалентно его умножению на 4. 


Затем полученное RO » 4 прибавляется к текущему значению РС, совершая, Ta- 
ким образом, переход на одну из расположенных ниже инструкций В (Branch). 


На момент исполнения АООСС, содержимое РС на 8 байт больше (0x180), чем 
адрес по которому расположена сама инструкция ADDCC (0x178), либо, говоря 
иным языком, на 2 инструкции больше. 


Это связано с работой конвейера процессора ARM: пока исполняется инструк- 
ция ADDCC, процессор уже начинает обрабатывать инструкцию после следую- 
щей, поэтому РС указывает туда. Этот факт нужно запомнить. 


Если а = 0, тогда к РС ничего не будет прибавлено и в РС запишется актуаль- 
ный на тот момент РС (который больше на 8) и произойдет переход на метку 
Іос 180. Это на 8 байт дальше места, где находится инструкция ADDCC. 


Если а = 1, тогда в РС запишется РС +8 + ах 4 = РС +8+1+4 = РС + 12 = 02184. 
Это адрес метки /ос_184. 


При каждой добавленной к а единице итоговый РС увеличивается на 4. 


4 это длина инструкции в режиме ARM и одновременно с этим, длина каждой 
инструкции В, их здесь следует 5 в ряд. 


Каждая из этих пяти инструкций В передает управление дальше, где собствен- 
но и происходит то, что запрограммировано в операторе switch(). Там происхо- 
дит загрузка указателя на свою строку, и т. д. 


96Арр— складывание чисел 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


АКМ: Оптимизирующий Keil 6/2013 (Режим Thumb) 


Листинг 1.161: Оптимизирующий Keil 6/2013 (Режим Thumb) 


000000Е6 ЕХРОВТ 12 

000000Е6 f2 

000000F6 10 B5 PUSH {R4, LR} 

000000F8 03 00 MOVS АЗ, RỌ 

000000FA 06 FO 69 F8 BL _ ARM соттоп _switch8 thumb ; switch 6 
cases 

000000FE 05 DCB 5 

000000FF 04 06 08 OA 0С 10 DCB 4, 6, 8, ӨхА, 0хС, 0x10 ; jump table for 
switch statement 

00000105 00 ALIGN 2 

00000106 

00000106 zero_case ; CODE XREF: f2+4 

00000106 8D АО ADR RO, aZero ; jumptable 000000FA case 0 

00000108 06 E0 B loc_118 

0000010A 

0000010A one_case ; CODE XREF: f2+4 

0000010A 8E АО ADR RO, а0пе ; jumptable 000000FA case 1 

0000010C 04 ЕО B loc_118 

0000010Е 

0000010Е їмо саѕе ; CODE XREF: 12+4 

0000010Е ВЕ АО ADR RO, aTwo ; jumptable 000000FA case 2 

00000110 02 ЕО B loc_118 

00000112 

00000112 three_case ; CODE XREF: f2+4 

00000112 90 АО ADR RO, aThree ; jumptable 000000FA case З 

00000114 00 ЕО B loc_118 

00000116 

00000116 four_case ; CODE XREF: f2+4 

00000116 91 АО ADR RO, aFour ; jumptable 000000FA case 4 

00000118 

00000118 loc_118 ; CODE XREF: f2+12 

00000118 ; f2+16 

00000118 06 FO 6A F8 BL _ 2printf 

0000011C 10 BD POP {R4, PC} 

0000011E 

0000011E default_case ; CODE XREF: f2+4 

A 82 АО ADR RO, aSomethingUnkno ; jumptable 

00000FA Perault case 

00000120 FA E B loc_118 

000061D0 EXPORT _ АВМ соттоп switch8_ thumb 

000061D0 _ ARM соттоп ѕміїсһ8 thumb ; CODE XREF: 
example6 f2+4 

000061D0 78 47 BX PC 
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00006102 00 00 ALIGN 4 

00006102 ; Епа of function ARM соттоп switch8 thumb 

000061D2 

000061D4 32_ ARM common_switch8 thumb ; CODE XREF: 
ARM common switch8 thumb 

000061D4 01 CO 5E E5 LDRB R12, [LR,#-1] 

00006108 ӨС 00 53 E1 CMP R3, R12 

000061DC 0С 30 DE 27 LDRCSB R3, [LR,R12] 

000061E0 03 30 DE 37 LDRCCB R3, [LR,R3] 

000061Е4 83 СО 8E EOQ ADD R12, LR, R3,LSL#1 

000061E8 1С FF 2F El BX R12 

000061E8 ; End of function 32 ARM common switch8 thumb 


В режимах Thumb n Thumb-2 уже нельзя надеяться на то, что все инструкции 
имеют одну длину. 


Можно даже сказать, что в этих режимах инструкции переменной длины, как 
в х86. 


Так что здесь добавляется специальная таблица, содержащая информацию о 
том, как много вариантов здесь, не включая варианта по умолчанию, и сме- 
щения, для каждого варианта. Каждое смещение кодирует метку, куда нужно 
передать управление в соответствующем случае. 


Для того чтобы работать с таблицей и совершить переход, вызывается служеб- 
ная функция 


__ААМ соттоп_5ийср8 пить. Она начинается с инструкции ВХ РС, чья функ- 
ция — переключить процессор в АКМ-режим. 


Далее функция, работающая с таблицей. Она слишком сложная для рассмот- 
рения в данном месте, так что пропустим это. 


Но можно отметить, что эта функция использует регистр LR как указатель на 
таблицу. 


Действительно, после вызова этой функции, в LR был записан адрес после nH- 
струкции 


ВЕ _ АВАМ соттоп ѕміїсһ8 Тһитб, а там как раз и начинается таблица. 


Ещё можно отметить, что код для этого выделен в отдельную функцию для 
того, чтобы не нужно было каждый раз генерировать точно такой же фрагмент 
кода для каждого выражения switch(). 


IDA распознала эту служебную функцию и таблицу автоматически дописала 
комментарии к меткам вроде 
jumptable 000000FA case 0. 


MIPS 


Листинг 1.162: Оптимизирующий GCC 4.4.5 (IDA) 


lui $gp, (пи 1оса1 ор >> 16) 
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; перейти на loc 24, если входное значение меньше 5: 

51411 $\0, $a0, 5 

bnez $\0, loc_24 

la $gp, (__опи 1оса1_ор & ӨхҒЕЕЕ) ; branch delay slot 
; входное значение больше или равно 5 
; вывести "something unknown" и закончить: 


lui $a0, ($LC5 >> 16) # "something unknown" 
1м $19, (puts & OxFFFF)($gp) 
ог фаї, $zero ; МОР 
jr $t9 
la $a0, ($LC5 & OxFFFF) # "something unknown" ; branch 
delay slot 
loc 24: # CODE XREF: f+8 


; загрузить адрес таблицы переходов 
; LA это псевдоинструкция, на самом деле здесь пара LUI и ADDIU: 


1а $у0, ОТҒ 120 
; умножить входное значение на 4: 
sll $a0, 2 


прибавить умноженное значение к адресу таблицы: 
аааи фаб, $70, $а0 
загрузить элемент из таблицы переходов: 


1м $0, 0($а0) 

ог фаї, $zero ; МОР 
; перейти по адресу, полученному из таблицы: 

jr $\0 

ог $аї, $хего ; branch delay slot, NOP 
sub 44: # DATA XREF: .rodata:0000012C 
; вывести "three" и закончить 

lui $a0, ($LC3 >> 16) # "three" 

1м $19, (puts & OxFFFF)($gp) 

ог фаї, $7его ; МОР 

jr $t9 

la $a0, ($LC3 & OxFFFF) # "three" ; branch delay slot 
sub 58: # DATA XREF: .rodata:00000130 
; вывести "four" и закончить 

lui $a0, ($LC4 >> 16) # "four" 

lw $19, (puts & 0OxFFFF)($gp) 

or $at, $zero ; NOP 

jr $t9 

la $a0, ($1С4 & OxFFFF) # "four" ; branch delay slot 
sub_6C: # DATA XREF: .rodata:off_120 
; вывести "zero" и закончить 

lui фаб, ($1С0 >> 16) # "zero" 

1м $19, (puts & 0OxFFFF)($gp) 

ог фаї, $zero ; МОР 

jr $t9 

la $a0, ($LCO & OxFFFF) # "zero" ; branch delay slot 
sub 80: # DATA XREF: .rodata:00000124 


; вывести "опе" и закончить 
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lui $a0, ($LC1 >> 16) # "one" 

1м $19, (puts & OxFFFF)($gp) 

ог фаї, $zero ; МОР 

јг $19 

1а фаб, ($1С1 & OxFFFF) # "опе" ; branch delay slot 
ѕир 94: # DATA XREF: .года+а:00000128 
; вывести "two" и закончить 

lui $a0, ($LC2 >> 16) # "two" 

1м $19, (puts & OxFFFF)($gp) 

ог фаї, $zero ; МОР 

jr $t9 

la фаб, ($LC2 & OxFFFF) # "two" ; branch delay slot 
; может быть размещено в секции .rodata: 
ОҒ 120: .мога ѕиб 6С 

.мога ѕир 80 

.мога ѕиб 94 

.мога <и 44 

.мога ѕир 58 


Новая для нас инструкция здесь это 51 ТТЦ («Set оп Less Than Immediate Unsigned» — 
установить, если меньше чем значение, беззнаковое сравнение). 


На самом деле, это то же что и 5170 («Set оп Less Than Unsigned»), но «l» озна- 
чает «immediate», т.е. число может быть задано в самой инструкции. 


ВМЕЙ это «Branch if Not Equal їо Zero» (переход если не равно нулю). 

Код очень похож на код для других ISA. SLL («Shift Word Left Logical» — norn- 
ческий сдвиг влево) совершает умножение Ha 4. MIPS всё-таки это 32-битный 
процессор, так что все адреса в таблице переходов (jumptable) 32-битные. 
Вывод 


Примерный скелет оператора switch(): 


Листинг 1.163: х86 


MOV ВЕС, input 

CMP REG, 4 ; максимальное количество меток 

JA default 

SHL REG, 2 ; найти элемент в таблице. сдвинуть на 3 бита B X64 
MOV REG, jump_table[REG] 

JMP REG 


casel: 
; делать что-то 
ЈМР ехії 

саѕе2: 
; делать что-то 
JMP exit 

case3: 
; делать что-то 
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ЈМР ех1ї 

са<е4: 
; делать что-то 
ЈМР ехії 

саѕе5: 
; делать что-то 
ЈМР ех1ї 


default: 


exit: 


jump_table dd саѕе1 
dd саѕе2 
dd case3 
dd case4 
dd case5 


Переход по адресу из таблицы переходов может быть также реализован такой 
инструкцией: 
JMP jump table[REG*4]. Или JMP jump table[REG*8] в x64. 


Таблица переходов (jumptable) это просто массив указателей, как это будет 
вскоре описано: 1.26.5 (стр. 361). 


1.21.3. Когда много саѕе в одном блоке 


Вот очень часто используемая конструкция: несколько саѕе может быть ис- 
пользовано в одном блоке: 


#include <stdio.h> 


void f(int a) 


{ 

switch (a) 

{ 

case 1: 

case 2: 

case 7: 

case 10: 
printf ("1, 2, 7, 10\n"); 
break; 

case 3: 

case 4: 

case 5: 

case 6: 
printf ("3, 4, 5\n"); 
break; 

case 8: 
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оо моол Бомон 


саѕе 9: 


саѕе 20: 
саѕе 21: 
printf ("8, 9, 21\п"); 
ргеак; 
саѕе 22: 
printf ("22\п"); 
ргеак; 
default: 
printf ("default\n"); 
break; 
}; 
}; 
int та1п() 
{ 
#(4); 
}; 


Слишком расточительно генерировать каждый блок для каждого случая, по- 


этому обычно генерируется каждый блок плюс некий диспетчер. 


МУС 
Листинг 1.164: Оптимизирующий MSVC 2010 
$562798 ОВ '1, 2, 7, 10', бан, ӨӨН 
$562800 DB '3, 4, 5', бан, ӨӨН 
$562802 ОВ '8, 9, 21', бан, Оон 
$562804 ОВ '22', бан, 0ӨН 
$562806 ОВ 'default', бан, ООН 
_а$ = 8 
f PROC 
mov eax, DWORD PTR _a$[esp-4] 
dec eax 
cmp eax, 21 
ja SHORT $LN1@f 
тоу2х eax, BYTE РТА $LN10@f [eax] 
jmp DWORD PTR $LN11@f[eax*4] 
$LN5@f : 
mov DWORD PTR _a$[esp-4], OFFSET $SG2798 ; '1, 2, 7, 10' 
jmp DWORD PTR imp_ printf 
$LN4Gf : 
mov DWORD PTR _a$[esp-4], OFFSET $SG2800 ; '3, 4, 5' 
jmp DWORD PTR  imp_ printf 
$LN3Qf : 
mov DWORD РТА _a$[esp-4], OFFSET $SG2802 ; '8, 9, 21' 
jmp DWORD PTR imp_ printf 
$LN2@f : 
mov DWORD PTR _а$[е<р-4], OFFSET $SG2804 ; '22' 
jmp DWORD PTR  imp_ printf 
$LN1@f : 
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тоу DWORD РТА а$[еѕр-4], OFFSET $562806 ; 'default' 

] тр DWORD РТК imp_ printf 

npad 2 ; выровнять таблицу $LN11@f по 16-байтной границе 
$LN11@f : 


DD $LN5@f ; вывести '1, 2, 7, 10' 

DD $LN4Gf ; вывести '3, 4, 5' 

DD $LN3@f ; вывести '8, 9, 21' 

рр $LN2@f ; вывести '22' 

рр $LN1@f ; вывести 'default' 
$LN10@f : 

DB 0; а=1 

рв 0 ; а=2 

рв 1 ; а=з 

рв 1; а=4 

рв 1 ; а=5 

DB 1 ; a=6 

DB Ө; а=7 

DB 2 ; a=8 

DB 2 ; а=9 

рв 0 ; а=10 

рв 4 ; а=11 

рв 4 ; а=12 

рв 4 ; а=13 

рв 4 ; а=14 

рв 4 ; а=15 

рв 4 ; а=16 

рв 4 ; а=17 

рв 4 ; а=18 

рв 4 ; а=19 

рв 2 ; а=20 

рв 2 ; а=21 

рв 3 ; а=22 
f ENDP 


Здесь видим две таблицы: первая таблица ($LN10@f) это таблица индексов, а 
вторая таблица ($13110?) это массив указателей на блоки. 


В начале, входное значение используется как индекс в таблице индексов (стро- 
ка 13). 


Вот краткое описание значений в таблице: 0 это первый блок case (для значе- 
ний 1, 2, 7, 10), 1 это второй (для значений 3, 4, 5), 2 это третий (для значений 
8, 9, 21), 3 это четвертый (для значений 22), 4 это для блока по умолчанию. 


Мы получаем индекс для второй таблицы указателей на блоки и переходим 
туда (строка 14). 


Ещё нужно отметить то, что здесь нет случая для нулевого входного значения. 


Поэтому мы видим инструкцию DEC на строке 10 и таблица начинается с а = 1. 
Потому что незачем выделять в таблице элемент для а = 0. 


Это очень часто используемый шаблон. 


В чем же экономия? Почему нельзя сделать так, как уже обсуждалось (1.21.2 
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(стр. 224)), используя только одну таблицу, содержащую указатели на бло- 
ки? Причина в том, что элементы в таблице индексов занимают только по 8- 
битному байту, поэтому всё это более компактно. 


GCC 


ССС делает так, как уже обсуждалось (1.21.2 (стр. 224)), используя просто 
таблицу указателей. 


АКМ64: Оптимизирующий ССС 4.9.1 


Во-первых, здесь нет кода, срабатывающего в случае если входное значение — 
0, так что ССС пытается сделать таблицу переходов более компактной и начи- 
нает со случая, когда входное значение — 1. 


ССС 4.9.1 для ААМ64 использует даже более интересный трюк. Он может за- 
кодировать все смещения как 8-битные байты. Вспомним, что все инструкции 
в АКМ64 имеют размер в 4 байта. 


ССС также использует тот факт, что все смещения в моем крохотном примере 
находятся достаточно близко друг от друга. 


Так что таблица переходов состоит из байт. 


Листинг 1.165: Оптимизирующий ССС 4.9.1 АКМ64 


114: 
; входное значение в WỌ 
sub w0, м0, #1 
стр м0, 21 
; переход если меньше или равно (беззнаковое): 
bls 19 
„2 
‚ вывести "default": 
аагр x0, .LC4 
add x0, x0, :l012:.LC4 
b puts 
19: 
; загрузить адрес таблицы переходов в Х1: 
аагр х1, .14 
ааа х1, х1, :1012:.14 
; М0=іприї ма1ие-1 
; загрузить байт из таблицы: 
ldrb w0, [x1,w0,uxtw] 
; загрузить адрес метки Lrtx: 
adr х1, .Lrtx4 
; умножить элемент из таблицы на 4 (сдвинув Ha 2 бита влево) и прибавить (или 
вычесть) к адресу гіх: 
ааа x0, х1, м0, <хї #2 
; перейти на вычисленный адрес: 
рг хө 
; эта метка указывает на сегмент кода (text): 
.Lrtx4: 
. section . rodata 
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; всё после выражения ".section" 


(годата): 

. byte (.L3 – .Lrtx4) 
. byte (.L3 – .Lrtx4) 
. byte (.L5 = .Lrtx4) 
. byte (.L5 = .Lrtx4) 
‚буте (.L5 = .Lrtx4) 
‚буте (.15 = .Lrtx4) 
. byte (.L3 – .Lrtx4) 
. byte (.L6 – .Lrtx4) 
. byte (.L6 – .Lrtx4) 
. byte (.L3 – .Lrtx4) 
‚буте (.12 — .Lrtx4) 
‚буте (.12 — .Lrtx4) 
‚буте (.L2 — .Lrtx4) 
. byte (.12 – .Lrtx4) 
. byte (.L2 – .Lrtx4) 
‚буте (.L2 — .Lrtx4) 
‚буте (.12 — .Lrtx4) 
‚буте (.L2 — .Lrtx4) 
. byte (.12 – .Lrtx4) 
. byte (.L6 – .Lrtx4) 
. byte (.L6 – .Lrtx4) 
‚буте (.17 = .Lrtx4) 
. text 

; всё после выражения ".text" 

aL7: 

; вывести "22" 
айгр x0, .LC3 
add x0, x0, :1012: 
b puts 

‚16: 

; вывести "8, 9, 21" 
айгр х0, .LC2 
ааа х0, х0, :1012: 
b puts 

15: 

; вывести "3, 4, 5" 
айгр x0, .LC1 
add x0, x0, :1012: 
b puts 

„ЕЗ 

‚ вывести "1, 2, 7, 10" 
айгр х0, .LCO 
ааа х0, х0, :1012: 
b puts 

.LCO: 
.string "1, 2, 7, 10" 

.LC1: 
„string "3, 4, 5" 

.1С2: 
.string "8, 9, 21" 

„СЗ: 


< 
БРБРБРБРРБРРРРЬРРРЬРРЬРРЬЬьЬ 


выделяется 


. LC3 


. LC2 


.LC1 


. LCO 


выделяется B 


case 1 
case 2 
case 3 
case 4 
case 5 
case 6 
case 7 
case 8 
case 9 
case 10 
case 11 
case 12 
case 13 
case 14 
case 15 
case 16 
case 17 
case 18 
case 19 
case 20 
case 21 
case 22 


в сегменте кода 


сегменте только для чтения 


(text): 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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.LC4: 


„String "22" 


.string "default" 


Скомпилируем этот пример как объектный файл и откроем его B IDA. Вот таб- 
лица переходов: 


Листинг 1.166: јитрїабіе т IDA 


. гоааїа 
. rodata 
. rodata 
. rodata 
. rodata 
. rodata 
. rodata 
. rodata 
. rodata 
. rodata 
. rodata 
. rodata 
. rodata 
. rodata 
. rodata 
. rodata 
. rodata 
. rodata 
. rodata 
. rodata 
. rodata 
. rodata 
. rodata 
. rodata 
. rodata 


: 0000000000000064 
: 0000000000000064 
: 0000000000000064 
: 0000000000000065 
: 0000000000000066 
: 0000000000000067 
: 0000000000000068 
: 0000000000000069 
:000000000000006А 
:000000000000006В 
:000000000000006с 
:000000000000006р 
:000000000000006Е 
:000000000000006Е 
:0000000000000070 
:0000000000000071 
:0000000000000072 
: 0000000000000073 
: 0000000000000074 
: 0000000000000075 
: 0000000000000076 
: 0000000000000077 
: 0000000000000078 
: 0000000000000079 
:000000000000007B ; 


$d 


, 


AREA .rodata, 


; ORG 0x64 

DCB 9 { 
DCB 9 А 
DCB 6 Р 
DCB 6 ; 
DCB 6 ; 
DCB 6 Р 
DCB 9 F 
DCB 3 ; 
DCB 3 ; 
DCB 9 | 
DCB ОхЕ7 A 
DCB 0xF7 | 
DCB ОхЕ7 ; 
DCB ОхЕ7 ; 
DCB 0xF7 а 
DCB ОхЕ7 i 
DCB 0xF7 A 
DCB 0xF7 ; 
DCB ОхЕ7 - 
DCB 3 Р 
DCB 3 з 
DCB 0 ; 


‚годафа ends 


‚ case 
‚ case 
‚ case 10 
; case 11 
; case 12 


DATA, READONLY 


case 
case 
case 
case 
case 
case 
case 


со ч Сул Биом н 


[Кә] 


; case 13 
; case 14 


case 15 


; case 16 
; case 17 
; case 18 
‚ case 19 
; case 20 
; case 21 
; case 22 


В случае 1, 9 будет умножено на 9 и прибавлено к адресу метки Lrtx4. 


В случае 22, 0 будет умножено на 4, в результате это 0. 


Место сразу за меткой І гїх4 это метка 17, где находится код, выводящий «22». 


В сегменте кода нет таблицы переходов, место для нее выделено в отдельной 
секции .годака (нет особой нужды располагать её в сегменте кода). 


Там есть также отрицательные байты (0хЕ7). Они используются для перехода 
назад, на код, выводящий строку «default» (на .12). 


1.21.4. Fall-through 


Ещё одно популярное использование оператора ѕміїсћ () это т.н. «fallthrough» 
(«провал»). Вот простой пример?7: 


97Взято 


отсюда: https://github.com/azonalon/prgraas/blob/master/prog1lib/lecture_ 
examples/is_whitespace.c 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


ноюомоол Бшм н 


кҥн 


о моол Бшм н 
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bool 15 мһіїеѕрасе(сһаг с) { 
switch (с) { 
case ' ': // fallthrough 
case '\1': // fallthrough 
case '\г': // fallthrough 
саѕе '\п': 
return true; 
default: // not whitespace 
return false; 


Немного сложнее, из ядра Ипих?8: 


сһаг псо1, псо2; 


void f(int і? Ггед КИ?) 


{ 
switch (1? Тгед КП?) { 
default: 
printf ("IF=%d KHz is not supportted, 3250 аззитед\п/ 
s", if_freq_khz); 
/ж fallthrough */ 
case 3250: /* 3.25Mhz */ 
ncol = 0x34; 
nco2 = 0x00; 
break; 
case 3500: /* 3.50Mhz */ 
ncol = 0x38; 
nco2 = 0x00; 
break; 
case 4000: /* 4.00Mhz */ 
ncol = 0x40; 
nco2 = 0x00; 
break; 
case 5000: /* 5.00Mhz */ 
ncol = 0x50; 
nco2 = 0x00; 
break; 
case 5380: /* 5.38Mhz */ 
ncol = 0x56; 
nco2 = 0x14; 
break; 
} 
}; 
Листинг 1.167: Оптимизирующий ССС 5.4.0 х86 
.LCO: 


98https://github.com/torvalds/linux/blob/master/drivers/media/dvb-frontends/lgdt3306a. 
č 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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.Ѕігіпд "ІЕ=%0 KHz is пої supportted, 3250 аѕѕитед\п" 


Т: 
sub esp, 12 
mov eax, DWORD PTR [esp+16] 
cmp eax, 4000 
je 213 
10 ‚14 
стр еах, 3250 
је ‚15 
стр еах, 3500 
јпе ‚12 
тоу ВҮТЕ РТА псо1, 56 
mov BYTE PTR nco2, 0 
add esp, 12 
ret 

‚14: 
стр еах, 5000 
је ‚17 
стр еах, 5380 
јпе ‚12 
тоу ВҮТЕ РТА псо1, 86 
mov BYTE PTR nco2, 20 
add esp, 12 
ret 

„2 
sub esp, 8 
push eax 
push OFFSET FLAT:.LCO 
call printf 
add esp, 16 

25 
mov BYTE PTR ncol, 52 
mov BYTE PTR nco2, 0 
add esp, 12 
ret 

„L3: 
mov BYTE PTR псо1, 64 
mov BYTE PTR nco2, 0 
add esp, 12 
ret 

.L7: 
mov BYTE PTR псо1, 80 
mov BYTE PTR nco2, 0 
add esp, 12 
ret 


На метку .L5 управление может перейти если на входе ф-ции число 3250. Но 
на эту метку можно попасть и с другой стороны: мы видим что между вызовом 
рг1пЕТ() и меткой .15 нет никаких пероходов. 


Теперь мы можем понять, почему иногда ѕиіёсћ() является источником ошибок: 
если забыть дописать break, это прекратит выражение switch() в fallthrough, и 
вместо одного блока для каждого условия, будет исполняться сразу несколь- 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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ко. 


1.21.5. Упражнения 
Упражнение#1 


Вполне возможно переделать пример на Си в листинге 1.21.2 (стр. 217) так, 
чтобы при компиляции получалось даже ещё меньше кода, но работать всё 
будет точно так же. Попробуйте этого добиться. 


1.22. Циклы 


1.22.1. Простой пример 
х86 


Для организации циклов в архитектуре x86 есть старая инструкция LOOP. Она 
проверяет значение регистра ЕСХ и если оно не 0, делает декремент ЕСХ и пе- 
реход по метке, указанной в операнде. Возможно, эта инструкция не слишком 
удобная, потому что уже почти не бывает современных компиляторов, кото- 
рые использовали бы её. Так что если вы видите где-то LOOP, то с большой 
вероятностью это вручную написанный код на ассемблере. 


Обычно, циклы на Си/Си+ +создаются при помощи Тог( ), while(), do/while(). 
Начнем с Тог(). Это выражение описывает инициализацию, условие, опера- 
цию после каждой итерации 

(инкремент/декремент) и тело цикла. 


Тог (инициализация; условие; после каждой итерации) 


{ 
} 


тело цикла; 


Примерно так же, генерируемый код и будет состоять из этих четырех частей. 
Возьмем пример: 


#include <stdio.h> 


void printing_function(int i) 


{ 
}; 


printf ("#(%а)\п", i); 


int main() 


{ 


int i; 


for (1=2; 1<10; i++) 
printing_function(i); 


return 0; 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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|3; 


Имеем в итоге (MSVC 2010): 


Листинг 1.168: MSVC 2010 


DWORD РТА _i$[ebp], 2 


еѕр 


SHORT $LN3@main 


eax, DWORD PTR _i$[ebp] 
DWORD РТВ i$[ebp], eax 


DWORD PTR _i$[ebp], 10 


1 


SHORT $LN1@main 


ecx, DWORD PTR _i$[ebp] 
printing_function(i) 


_printing_function 


4 


SHORT $LN2@main 


_1$ = -4 
_main PROC 
push ebp 
mov ebp, 
push ecx 
mov 
jmp 
$LN2@main: 
mov 
add eax, 
mov 
$LN3@main: 
cmp 
итерацией 
1де 
цикл 
mov 
push ecx 
call 
add esp, 
jmp 
$LN1@main: 
xor eax, 
mov esp, 
pop ebp 
ret 0 
_та1п ЕМОР 


еах 
ебр 


, 


, 


инициализация цикла 


то что мы делаем после каждой итерации: 


; добавляем 1 к i 


$ 


, 


это условие проверяется перед каждой 


если 1 больше или равно 10, заканчиваем 


тело цикла: вызов функции 


переход на начало цикла 
конец цикла 


В принципе, ничего необычного. 


ССС 4.4.1 выдает примерно такой же код, с небольшой разницей: 


Листинг 1.169: ССС 4.4.1 


та1п 


уаг_20 
маг 4 


loc 8048465: 


ргос пеаг 


Ямога ptr —20һ 


= амога ріг -4 

push ebp 

mov ebp, esp 

and esp, OFFFFFFFOh 

sub esp, 20h 

mov [esp+20h+var_4], 2 ; инициализация i 
jmp short 1ос 8048476 

тоу eax, [esp+20h+var 4] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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mov [esp+20h+var_20], eax 
call printing_function 
add [esp+20h+var_ 4], 1 ; инкремент 1 
loc 8048476: 
стр [еѕр+20һ+маг 4], 9 
jle short 1ос 8048465 ; если 1<=9, продолжаем цикл 
mov eax, 0 
leave 
retn 
main endp 


Интересно становится, если скомпилируем этот же код при помощи MSVC 2010 
с включенной оптимизацией (/0х): 


Листинг 1.170: Оптимизирующий MSVC 


_та1п PROC 
push esi 
mov esi, 2 
$LL3@main: 
push esi 
call _printing_function 
inc esi 
add esp, 4 
cmp esi, 10 ; 0000000aH 
jl SHORT $LL3@main 
xor eax, eax 
pop esi 
ret 0 
_та1п ЕМОР 


Здесь происходит следующее: переменную + компилятор не выделяет B JNO- 
кальном стеке, а выделяет целый регистр под нее: ESI. Это возможно для Ma- 
леньких функций, где мало локальных переменных. 


В принципе, всё то же самое, только теперь одна важная особенность: f() 
не должна менять значение ESI. Наш компилятор уверен в этом, а если бы и 
была необходимость использовать регистр ESI в функции Т(), то её значение 
сохранялось бы в стеке. Примерно так же как и в нашем листинге: обратите 
внимание на PUSH ЕЅІ/РОР ESI в начале и конце функции. 


Попробуем ССС 4.4.1 с максимальной оптимизацией (-03): 


Листинг 1.171: Оптимизирующий ССС 4.4.1 


main proc near 
var_10 = dword ptr -10h 
push ebp 
mov ebp, esp 
and esp, OFFFFFFFOh 
sub esp, 10h 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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тоу [е5р+10Н+\аг_10], 2 
са11 printing_function 
mov [esp+10h+var_10], 3 
call printing_function 
mov [esp+10h+var_10], 4 
call printing_function 
mov [esp+10h+var_10], 5 
call printing_function 
mov [esp+10h+var_10], 6 
call printing_function 
mov [esp+10h+var_10], 7 
call printing_function 
mov [esp+10h+var_10], 8 
call printing_function 
mov [esp+10h+var_10], 9 
call printing_function 
xor eax, eax 
leave 
retn 

main endp 


Однако ССС просто развернул цикл. 


Делается это в тех случаях, когда итераций не слишком много (как в нашем 
примере) и можно немного сэкономить время, убрав все инструкции, обеспечи- 
вающие цикл. В качестве обратной стороны медали, размер кода увеличился. 


Использовать большие развернутые циклы в наше время не рекомендуется, 
потому что большие функции требуют больше кэш-памяти195. 


Увеличим максимальное значение i в цикле до 100 и попробуем снова. ССС 
выдает: 


Листинг 1.172: ССС 


public main 


main proc near 

var_20 = dword ptr -20h 
push ebp 
mov ebp, esp 
and esp, OFFFFFFFOh 
push ebx 
mov ebx, 2 ; 1=2 
sub esp, 1Ch 


; выравнивание метки loc 8048400 (начало тела цикла) 
; по 16-байтной границе: 
пор 


99 оор unwinding в англоязычной литературе 

1000чень хорошая статья об этом: [Ulrich Огеррег, What Every Programmer Should Know About 
Memory, (2007)]101. А также о рекомендациях о развернутых циклах OT Intel можно прочитать 
здесь: [п е® 64 and ІА-32 Architectures Optimization Reference Manual, (2014)3.4.1.7]. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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loc 8048400: 


; передать і как первый аргумент для printing function(): 


mov 
add 
call 
cmp 
jnz 
add 
xor 
pop 
mov 
pop 
retn 
main endp 


[esp+20h+var_20], ebx 

ebx, 1 ; i++ 

printing_function 

ebx, 64h ; i==100? 

short loc 8048400 ; если нет, продолжать 


еѕр, 1Сһ 

еах, еах ; возврат 0 
ерх 

еѕр, ебр 

ебр 


Это уже похоже на то, что сделал MSVC 2010 в режиме оптимизации (/0х). За 
исключением того, что под переменную i будет выделен регистр EBX. 


ССС уверен, что этот регистр не будет модифицироваться внутри Т(), а если 
вдруг это и придётся там сделать, то его значение будет сохранено в начале 
функции, прямо как в ма1п(). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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x86: OllyDbg 
Скомпилируем наш пример в MSVC 2010 с /0x и /0b0 и загрузим в OllyDbg. 


Оказывается, OllyDbg может обнаруживать простые циклы и показывать их в 
квадратных скобках, для удобства: 


CPU - тат thread, module іоорѕ 2 


Registers (FPU) 
Ax 88312848 
ыа OFFSET ME 


š 56 
20000008 
; 02000009 > Р 00247018 
О4РЕРЕЕЕ || CALL_loops_2.00331000 Е И 
6 INC ESI DI 00333378 lo 
ADD ESP, 4 к 
СМР ЕЅІ, ВА ЕТР 


› 00331020 lo 


JL SHORT loops_2. 00331026 ES 0Е 


XOR EAX, EAX 
POP ESI 


RETN 
Е 143300 PUSH loops_2. 00331406 - 
Е5$1=@йййййй1 
Local call from 003311A1 


Рис. 1.54: OllyDbg: начало main() 


D 
o 
HONDO 


т, OO 


оо 


Трассируя (F8 — сделать шаг, не входя в функцию) мы видим, как ESI увели- 
чивается на 1. 


Например, здесь ESI =i = 6: 


ІМТ 
6 PUSH ЕЅІ 
2000000 | М0Џ ЕЅІ,2 


PUSH ESI 
D4FFFFFF CALL loops_2. 00331000 
ІМС ESI 


ve м 


loops_ 


ADD ESP, 4 

CMP_ESI, ВЯ EIP 003 
“ЛЕ, JL SHORT loops_2. 00331026 
XOR EAX, EAX 

POP ESI 


bit 
bit 
bit 
bit 
bit 


ооо оф 
°з зз s$.: 


с 
у 


ETN 
РОЗН loops_2. 00331406 


| 
ос 0‹ 


Рис. 1.55: OllyDbg: тело цикла только что отработало с: = 6 


9 это последнее значение цикла. Поэтому JL после инкремента не срабатывает 
и функция заканчивается: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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СРО - main thread, module юор$_2 


6 
02000000 
Н ЕЗТ 
D4FFFFFF CALL loops_2. 00331000 
INC ESI 
ADD ESP, 4 
СМР ESI, ВЯ 
JL SHORT loops_2. 00331026 
XOR EAX, EAX 
РОР ESI 
RETN 
PUSH loops_2. 00331406 


ЕЗ а S 
ерат м ТВ GS 9028 fbit 
ОЙ LastErr ЕВВОБ 


Рис. 1.56: OllyDbg: ESI = 10, конец цикла 


x86: tracer 


Как видно, трассировать вручную цикл в отладчике — это не очень удобно. По- 
этому попробуем tracer. Открываем скомпилированный пример в IDA, находим 
там адрес инструкции PUSH ESI (передающей единственный аргумент B f()), 


а это 0х401026 в нашем случае и запускаем tracer: 


{гасег.ехе -1:100рѕ 2.ехе брх=1оор$_2.ехе!0х00401026 


Опция ВРХ просто ставит точку останова по адресу и затем {гасег будет выда- 
вать состояние регистров. В їгасег. 109 после запуска я вижу следующее: 


Р10=12884 | Мем ргосеѕѕ 100рѕ 2. 
(0) 100рѕ 2.ехе!0х401026 
ЕАХ=0х00а328с8 ЕВХ=0х00000000 
Е51=0х00000002 Ер1=0х00333378 
Е1Р=0х00331026 

FLAGS=PF ZF ТЕ 

(0) loops_2.exe!0x401026 
EAX=0x00000005 EBX=0x00000000 
ESI=0x00000003 EDI=0x00333378 
EIP=0x00331026 

FLAGS=CF PF AF SF IF 

(0) loops_2.exe!0x401026 
EAX=0x00000005 EBX=0x00000000 
ESI=0x00000004 EDI=0x00333378 
EIP=0x00331026 

FLAGS=CF PF AF SF IF 

(0) loops_2.exe!0x401026 
EAX=0x00000005 EBX=0x00000000 
ESI=0x00000005 EDI=0x00333378 
EIP=0x00331026 

FLAGS=CF AF SF IF 

(0) loops_2.exe!0x401026 


exe 


ECX=0x6f0f4714 
EBP=0x0024fbfc 


ECX=0x6f0a5617 
EBP=0x0024fbfc 


ECX=0x6f0a5617 
EBP=0x0024fbfc 


ECX=0x6f0a5617 
EBP=0x0024fbfc 


EDX=0x00000000 
ESP=0x0024fbb8 


EDX=0x000ee188 
ESP=0x0024fbb8 


EDX=0x000ee188 
ESP=0x0024fbb8 


EDX=0x000ee188 
ESP=0x0024fbb8 


EAX=0x00000005 EBX=0x00000000 ECX=0x6f0a5617 EDX=0x000ee188 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Е51=0х00000006 Ер1=0х00333378 
Е1Р=0х00331026 

FLAGS=CF РЕ АҒ SF ТЕ 

(0) 100рѕ 2. ехе! 0х401026 
ЕАХ=0х00000005 ЕВХ=0х00000000 
Е51=0х00000007 Ер1=0х00333378 
Е1Р=0х00331026 

FLAGS=CF АР SF ТЕ 

(0) 100рѕ 2. ехе!0х401026 
ЕАХ=0х00000005 ЕВХ=0х00000000 
Е51=0х00000008 Ер1=0х00333378 
Е1Р=0х00331026 

FLAGS=CF АР SF ТЕ 

(0) loops_2.exe!0x401026 
ЕАХ=0х00000005 ЕВХ=0х00000000 
Е51=0х00000009 Ер1=0х00333378 
Е1Р=0х00331026 

FLAGS=CF РЕ АҒ SF ТЕ 


ЕВР=0х00241 Тс 


ECX=0x6f0a5617 
EBP=0x0024fbfc 


ECX=0x6f0a5617 
EBP=0x0024fbfc 


ECX=0x6f0a5617 
EBP=0x0024fbfc 


ESP=0x0024fbb8 


EDX=0x000ee188 
ESP=0x0024fbb8 


EDX=0x000ee188 
ESP=0x0024fbb8 


EDX=0x000ee188 
ESP=0x0024fbb8 


PID=12884|Process loops_2.exe exited. ExitCode=0 (0x0) 


Видно, как значение ESI последовательно изменяется от 2 до 9. И даже 6o- 
лее того, в їгасег можно собирать значения регистров по всем адресам внутри 


функции. 


Там это называется trace. Каждая инструкция трассируется, значения самых 
интересных регистров запоминаются. Затем генерируется .іас-скрипт для IDA, 
который добавляет комментарии. Итак, в IDA я узнал что адрес та1п() это 
0х00401020 и запускаю: 


їгасег.ехе –1:100рѕ 2.ехе Брт=оор$_2.ехе!0х00401020, їгасе: сс 


ВРҒ означает установить точку останова на функции 


Получаю в итоге скрипты Loops 2.ехе.ійс и loops 2.ехе с1еаг.ійс. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Загружаю 100рѕ 2.ехе.ійс в IDA и увижу следующее: 


Сех: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
„Сех: 
„Сех: 
«text: 
-text: 
-text: 
«text: 
«text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
„text: 
.text: 
„text: 
«text: 
.-text: 


90401021 
00101026 


00101026 10с 5618026: 


00101 026 
909401027 
9040102С 
909401020 
90401030 
90401033 
90401035 
90401037 
90401038 
00101 038 


$ =============== 5 0 


_паіп 


__сіес1 main(int argc, const char 


B ROUT INE === 


xxargu, const char *жепур) 


CODE XREF: __tmainCRTStartup+11D}p 


ESI=1 


; CODE XREF: _main+13Ļj 
; Е51=2..9 
; tracing nested maximum level (1) reached, 


ESI=2..9 


; ESP=0x38fcbc 
; ESI=3..0xa 


short 1ос_н81826 ; SF=false,true 0F=false 


proc near В 
= dword ptr 4 

= dword ptr 8 

= dword ptr OCh 

push esi z 
тоу е51, 2 

push esi z 
call 5иһ_н81888 H 
inc esi = 
add esp, 4 т 
стр esi, Ваһ z 
ј1 

xor eax, eax 

pop esi 

retn Н 
епар 


ЕЯХ= 6 


Рис. 1.57: IDA с загруженным .іас-скриптом 


Видно, что ESI меняется от 2 до 9 в начале тела цикла, но после инкремента 
он в пределах [3..0хА]. Видно также, что функция таіп() заканчивается с 0 в 


ЕАХ. 


tracer также генерирует 100рѕ 2.ехе.іхї, содержащий адреса инструкций, 
сколько раз была исполнена каждая и значения регистров: 


Листинг 1.173: І00рѕ 2.ехе.їхї 


0х401020 ( 
0х401021 (. 
0х401026 ( 


їехі+0х20 
їехїі+0х21 
їехі+0х26 


) 
) 
) 


, 


, 
, 


е 
е 
е 


0х401027 (.text+0x27), e= 


4 level 
0x40102c ( 
0x40102d 
0x401030 
0x401033 
0x401035 
0x401037 
0x401038 


annn Ыб 


(1) reached, skippin 
.text+0x2c), e= 
. text+0x2d 
. text+0x30 
. text+0x33 
. text+0x35 
. text+0x37 
. text+0x38 


) 
) 
) 
) 
) 
) 


, 
, 
, 
, 
, 


, 


е 
е 
е 
е 
е 
е 


[РОР ЕЅІ] 


ҥе ҥ ҥ со со со соо ооо н н 


[PUSH ЕЅІ] ESI=1 

[MOV ESI, 2] 

[PUSH ESI] ESI=2..9 

[CALL 8D1000h] tracing nested maximum / 
this CALL 8D1000h=0x8d1000 

[INC ESI] ESI=2..9 

[ADD ESP, 4] ESP=0x38fcbc 

[CMP ESI, ОАһ] ESI=3..0xa 

[JL 8D1026h] SF=false,true ОЕ=Ға1ѕе 
[XOR EAX, EAX] 


[RETN] EAX=0 


Так можно использовать grep. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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АКМ 
Неоптимизирующий Кей 6/2013 (Режим АВМ) 


main 
STMFD 5Р!, {R4,LR} 
MOV R4, #2 
B loc_368 
loc 35С ; CODE XREF: main+1C 
MOV RO, R4 
BL printing_function 
ADD R4, R4, #1 
loc_368 ; CODE XREF: main+8 
CMP R4, #0хА 
BLT loc_35C 
MOV RO, #0 
LDMFD ЅР!, {R4,PC} 


Счетчик итераций i будет храниться в регистре R4. Инструкция MOV R4, #2 
просто инициализирует i. Инструкции MOV RO, R4 и BL printing_function co- 
ставляют тело цикла. Первая инструкция готовит аргумент для функции, f () а 
вторая вызывает её. Инструкция ADD R4, R4, #1 прибавляет единицу к i при 
каждой итерации. СМР R4, #0хА сравнивает i с OXA (10). Следующая за ней 
инструкция ВІТ (Branch Less Than) совершит переход, если i меньше чем 10. В 
противном случае в RO запишется 0 (потому что наша функция возвращает 0) 
и произойдет выход из функции. 


Оптимизирующий Кей! 6/2013 (Режим Thumb) 


_та1п 
PUSH {R4, LR} 
MOVS R4, #2 
loc_132 ; CODE XREF: _та1п+Е 
MOVS RO, R4 
BL printing_function 
ADDS R4, R4, #1 
CMP R4, #0хА 
BLT loc_132 
MOVS RO, #0 
POP {R4, PC} 


Практически всё то же самое. 


Оптимизирующий Xcode 4.6.3 (ШММ) (Режим Thumb-2) 


_та1п 
PUSH 


{R4,R7 , LR} 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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MOVW R4, #0x1124 ; "%а\п" 
MOVS R1, #2 
MOVT.W R4, #0 
ADD R7, SP, #4 
ADD R4, PC 
MOV RO, R4 
BLX _printf 
MOV RO, R4 
MOVS R1, #3 
BLX _printf 
MOV RO, R4 
MOVS R1, #4 
BLX _printf 
MOV RO, R4 
MOVS R1, #5 
BLX _printf 
MOV RO, R4 
MOVS R1, #6 
BLX _printf 
MOV RO, R4 
MOVS R1, #7 
BLX _printf 
MOV RO, R4 
MOVS R1, #8 

BLX _printf 
MOV RO, R4 
MOVS R1, #9 

BLX _printf 
MOVS RO, #0 

POP {R4,R7, PC} 


На самом деле, в моей функции f() было такое: 


void printing_function(int i) 


{ 
}; 


printf ("%а\п", i); 


Так что LLVM не только развернул цикл, HO также и представил мою очень 
простую функцию Т() как т/пе-функцию, и вставил её тело вместо цикла 8 
раз. Это возможно, когда функция очень простая (как та что у меня) и когда 
она вызывается не очень много раз, как здесь. 


АКМ64: Оптимизирующий ССС 4.9.1 


Листинг 1.174: Оптимизирующий ССС 4.9.1 


printing_function: 

; подготовить второй аргумент printf(): 
тоу wl, м0 

; загрузить адрес строки "#(%а) \п" 
айгр x0, .LCO 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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ааа x0, x0, :1012:.1С0 
; здесь просто переход вместо перехода с сохранением адреса и инструкции 
возврата: 
b printf 
main: 
; сохранить FP n LR в локальном стеке: 
stp x29, x30, [5р, -32]! 
; установить стековый фрейм: 
ааа x29, sp, 0 
; сохранить содержимое регистра X19 в локальном стеке: 
str x19, [sp,16] 


; будем использовать регистр W19 как счетчик. 
; установить начальное значение в 2: 


mov w19, 2 
ЕЗ 
; подготовить первый аргумент printing Ғипс+іоп() : 
тоу w0, w19 
; инкремент регистра счетчика. 
ааа w19, w19, 1 
; № все еще содержит значение счетчика перед инкрементом. 
bl printing_function 
; конец? 
cmp w19, 10 
; нет, перейти на начало тела цикла: 
bne 13 
; возврат 0 
mov w0, 0 


; восстановить содержимое регистра X19: 
ldr x19, [sp,16] 
; восстановить значения FP n LR: 
1ар x29, x30, [sp], 32 
ret 
.LCO: 
„string "f(%d)\n" 


ARM64: Неоптимизирующий ССС 4.9.1 


Листинг 1.175: Неоптимизирующий GCC 4.9.1 -fno-inline 


.LCO: 

„string "f(%d)\n" 
printing_function: 
; сохранить FP n LR в локальном стеке: 


51р x29, x30, [5р, -32]! 
; установить стековый фрейм: 
ааа x29, sp, 0 


; сохранить содержимое регистра М0: 
str w0, [х29,28] 
; загрузить адрес строки "f(%d)\n" 
айгр х0, .LCO 
ааа x0, х0, :1012:.1С0 
; перезагрузить входное значение из локального стека в регистр М1: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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1аг м1, [х29, 28] 
; вызвать printf() 


bl printf 
; восстановить значения FP n LR: 
1ар x29, x30, [sp], 32 
ret 
main: 
; сохранить FP n LR в локальном стеке: 
stp x29, x30, [5р, -32]! 
; установить стековый фрейм: 
ааа х29, 5р, 0 
; инициализировать счетчик 
mov м0, 2 


; сохранить его в месте, выделенном для него в локальном стеке: 
str w0, [x29,28] 
; пропустить тело цикла, и перейти на инструкции проверки условия цикла: 
b 13 
‚14: 
; загрузить значение счетчика в WO. 
; это будет первый аргумент ф-ции printing _ function(): 
tdr w0, [x29,28] 
; вызвать printing_function(): 
bl printing_function 
; инкремент значения счетчика: 
1аг w0, [х29, 28] 
ада м0, м0, 1 
str w0, [x29,28] 
„ЄЗ 
; проверка условия цикла. 
; загрузить значение счетчика: 
1аг w0, [х29, 28] 
‚ это 9? 
стр м0, 9 
; меньше или равно? тогда перейти на начало тела цикла: 
; иначе ничего не делаем. 


ble 14 

; возврат 0 
тоу м0, 0 

‚ восстановить значения ЕР и LR: 
1ар x29, x30, [sp], 32 
ret 


MIPS 


Листинг 1.176: Неоптимизирующий GCC 4.4.5 (IDA) 


main: 


; IDA не знает названия переменных в локальном стеке 
; Это мы назвали их вручную: 


1 = -0х19 
ѕамеа ЕР = -8 
ѕауеа ВА = -4 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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; пролог функции: 


addiu %5р, -0x28 
Sw $ra, 0x28+saved_RA($sp) 
SW $fp, 0x28+saved_FP($sp) 
move $fp, $sp 
; инициализировать счетчик значением 2 и сохранить это значение в локальном 
стеке 14 ие, 2 
Sw $у0, 0x28+i($fp) 
; псевдоинструкция. здесь на самом деле "BEQ $ZERO, $ZERO, loc 9C": 
b loc_9C 
or $at, $zero ; branch delay slot, NOP 
loc 80: # CODE XREF: main+48 


‚ загрузить значение счетчика из локального стека и вызвать 


printing_function(): 


1м $а0, 0х28+1 ($#р) 

jal printing_function 

or $at, $zero ; branch delay slot, NOP 
; загрузить счетчик, инкрементировать его и записать назад: 

1м $0, 0х28+1 ($#р) 

ог фаї, $zero ; МОР 

addiu $v0, 1 

Sw $у0, 0x28+i($fp) 
loc 9С: # CODE XREF: main+18 
; проверить счетчик, он больше 10? 

1м $0, 0х28+1 ($#р) 

ог фаї, $zero ; МОР 

5141 $\0, ОХА 
; если он меньше 10, перейти на loc 80 (начало тела цикла): 

bnez $\0, loc 80 

ог фаї, $тего ; branch delay slot, МОР 
; заканчиваем, возвращаем 0: 

поме $\0, $zero 
; эпилог функции: 

move $sp, $fp 

1м $га, 0х28+ѕамеа ВА($5р) 

lw $fp, 0x28+saved_FP($sp) 

addiu %5р, 0x28 

jr $ra 

or $at, $zero ; branch delay slot, NOP 


Новая для нас инструкция это В. Вернее, это псевдоинструкция (BEQ). 


Ещё кое-что 


По генерируемому коду мы видим следующее: после инициализации i, тело 
цикла не исполняется. В начале проверяется условие i, а лишь затем исполня- 
ется тело цикла. И это правильно, потому что если условие в самом начале не 
истинно, тело цикла исполнять нельзя. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Так может быть, например, в таком случае: 


for (1=0; і<количество элементов для обработки; i++) 
тело цикла; 


Если количество элементов для обработки равно 0, тело цикла не должно ис- 
полниться ни разу. Поэтому проверка условия происходит перед тем как ис- 
полнить само тело. 


Впрочем, оптимизирующий компилятор может переставить проверку условия 
и тело цикла местами, если он уверен, что описанная здесь ситуация невоз- 
можна, как в случае с нашим простейшим примером и с применением компи- 
ляторов Кей, Xcode (ШММ), М$УС и ССС в режиме оптимизации. 


1.22.2. Функция копирования блоков памяти 


Настоящие функции копирования памяти могут копировать по 4 или 8 байт на 
каждой итерации, использовать 51М0!0, векторизацию, ит. д. 


Но ради простоты, этот пример настолько прост, насколько это возможно. 


#include <stdio.h> 


void ту memcpy (unsigned char» dst, unsigned char» src, size t cnt) 
{ 
size t i; 
for (i=0; i<cnt; i++) 
dst[i]=src[il]; 
}; 


Простейшая реализация 


Листинг 1.177: ССС 4.9 x64 оптимизация по размеру (-Оѕ) 


пу тетсру: 

; ВОТ = целевой адрес 
; RSI исходный адрес 
; КОХ размер блока 


; инициализировать счетчик (1) в 0 


хог еах, еах 

‚12: 

; все байты скопированы? тогда заканчиваем: 
стр гах, rdx 
је ‚15 

; загружаем байт по адресу RSI+i: 
тоу cl, BYTE РТА [rsi+rax] 

; записываем байт по адресу RDI+i: 
тоу BYTE РТВ [гаі+гах], cl 
inc rax ; i++ 
jmp ‚12 


102Single Instruction, Multiple Data 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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15: 
геї 


Листинг 1.178: ССС 4.9 ААМ64 оптимизация по размеру (-Оѕ) 


пу тетсру: 

; ХӨ = целевой адрес 
; X1 исходный адрес 
; Х2 размер блока 


; инициализировать счетчик (1) в 0 


тоу x3, 0 

‚12: 

; все байты скопированы? тогда заканчиваем: 
стр x3, х2 
beq .L5 


; загружаем байт по адресу Х1+1: 
ldrb w4, [x1,x3] 

; записываем байт по адресу X0+i: 
strb w4, [x0,x3] 


add x3, x3, 1 ; i++ 
b .L2 

125: 
геї 


Листинг 1.179: Оптимизирующий Keil 6/2013 (Режим Thumb) 


ту тетсру PROC 
; RO = целевой адрес 
; В1 = исходный адрес 


; R2 = размер блока 
PUSH {r4, lr} 
; инициализировать счетчик (1) в 0 
MOVS r3,#0 
; условие проверяется в конце ф-ции, так что переходим туда: 
В 110. 12 | 
110.6] 
; загружаем байт по адресу В1+1: 
ОАВ г4, [71,73] 
; записываем байт по адресу RO+i: 
ЅТАВ г4,[г0, г3] 
; i++ 
ADDS r3,r3,#1 
10. 12] 
; i<size? 
СМР r3,r2 
; перейти на начало цикла, если это так: 
ВСС 110.6] 
РОР {r4, pc} 
ENDP 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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АКМ в режиме АКМ 
Кей! в режиме ARM пользуется условными суффиксами: 


Листинг 1.180: Оптимизирующий Кей 6/2013 (Режим АВМ) 


ту тетсру PROC 
; RO = целевой адрес 


; В1 = исходный адрес 

; R2 = размер блока 

; инициализировать счетчик (1) в 0 
MOV r3,#0 

110.4] 

; все байты скопированы? 
СМР r3,r2 


; следующий блок исполнится только в случае условия меньше чем, 
; T.e., если В2<ВЗ или i<size. 
; загружаем байт по адресу В1+1: 
LDRBCC r12,[r1,r3] 
; записываем байт по адресу RO+i: 
ЅТАВСС г12, [70,73] 
; i++ 
ADDCC r3,r3,#1 
; последняя инструкция условного блока. 
; перейти на начало цикла, если i<size 
; в противном случае, ничего не делать (т.е. если і>=ѕіхе) 


ВСС 110.4] 
; возврат 

ВХ tr 

ENDP 


Вот почему здесь только одна инструкция перехода вместо двух. 


MIPS 

Листинг 1.181: GCC 4.4.5 оптимизация по размеру (-Os) (IDA) 
ту тетсру: 
; перейти на ту часть цикла, где проверяется условие: 


b loc_14 
; инициализировать счетчик (1) в 0 
; он будет всегда находиться в регистре $\0: 
поме $0, $zero ; branch delay slot 


loc 8: # CODE XREF: ту тетсру+1С 
; загрузить байт как беззнаковый по адресу $10 в $v1: 
Tbu $v1, O($t0) 
; инкремент счетчика (1): 
addiu $v0, 1 
; записываем байт по адресу $a3 
sb $v1, 0($а3) 


loc 14: # CODE XREF: my memcpy 
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; проверить, до сих пор ли счетчик (i) в $\0 меньше чем третий аргумент 
("спї" в $а2) 

51 Чи $\1, $\%0, $а2 

; сформировать адрес байта исходного блока: 
addu $t0, $al, $v0 

; $10 = $al+$v0 = src+i 

; перейти на тело цикла, если счетчик всё еще меньше чем "cnt": 
bnez $v1, loc 8 

; сформировать адрес байта в целевом блоке ($a3 = $a0+$v0 = dst+i): 
addu $a3, $a0, $v0 ; branch delay slot 

; закончить, если BNEZ не сработала 
jr $ra 
or $at, $zero ; branch delay slot, NOP 


Здесь две новых для нас инструкций: LBU («Load Byte Unsigned») n SB («Store 
Byte»). Так же Kak n B ARM, все регистры B MIPS имеют длину B 32 бита. Здесь 
нет частей регистров равных байту, как B X86. 


Так что когда нужно работать с байтами, приходится выделять целый 32-битный 
регистр для этого. 


LBU загружает байт и сбрасывает все остальные биты («Unsigned»). 


И напротив, инструкция LB («Load Byte») расширяет байт до 32-битного значе- 
ния учитывая знак. 


5В просто записывает байт из младших 8 бит регистра в память. 


Векторизация 


Оптимизирующий ССС может из этого примера сделать намного больше: 1.36.1 
(стр. 531). 


1.22.3. Проверка условия 


Важно помнить, что в конструкции ѓог(), проверка условия происходит не в 
конце, а в начале, перед исполнением тела цикла. Но нередко компилятору 
удобнее проверять условие в конце, после тела. Иногда может добавляться 
еще одна проверка в начале. 


Например: 


#include <stdio.h> 


void f(int start, int finish) 
{ 
for (; start<finish; start++) 
printf ("%d\n", start); 
}; 


Оптимизирующий ССС 5.4.0 х64: 
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т: 
; check condition (1): 
cmp edi, esi 
jge ‚19 
push rbp 
push rbx 
mov ebp, esi 
mov ebx, edi 
sub rsp, 8 
L53 
mov edx, ebx 
xor eax, eax 
mov esi, OFFSET FLAT:.LCO ; "%d\n" 
mov edi, 1 
add ebx, 1 
call _printf_chk 
; check condition (2): 
cmp ebp, ebx 
jne ‚15 
ааа rsp, 8 
рор грх 
рор rbp 
19: 
гер геї 


Видим две проверки. 


Нех-Вау$ (по крайней мере версии 2.2.0) декомпилирует это так: 


void cdecl f(unsigned int start, unsigned int finish) 

{ 
unsigned int v2; // ebx@2 
_ 11164 v3; // rdx@3 


if ( (signed int)start < (signed іпї) Ғіпіѕһ ) 
{ 
v2 = start; 
do 
{ 
ҮЗ = \2++; 
_printf_chk(1LL, "%d\n", v3); 


while ( finish != v2 ); 


В данном случае, do/while() можно смело заменять Ha for(), а первую проверку 
убрать. 


1.22.4. Вывод 


Примерный скелет цикла от 2 до 9 включительно: 
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Листинг 1.182: х86 


mov [counter], 2 ; инициализация 
jmp check 
body: 
; тело цикла 
; делаем тут что-нибудь 
‚ используем переменную счетчика в локальном стеке 
ааа [counter], 1 ; инкремент 
сһеск: 
стр [counter], 9 
jle body 


Операция инкремента может быть представлена как 3 инструкции B неопти- 
мизированном коде: 


Листинг 1.183: х86 


MOV [counter], 2 ; инициализация 
JMP check 
body: 
; тело цикла 
; делаем тут что-нибудь 
; используем переменную счетчика в локальном стеке 
MOV REG, [counter] ; инкремент 


INC REG 

MOV [counter], REG 
check: 

CMP [counter], 9 

JLE body 


Если тело цикла короткое, под переменную счетчика можно выделить целый 
регистр: 


Листинг 1.184: х86 


MOV EBX, 2 ; инициализация 
ЭМР сһеск 
роду: 
; тело цикла 
; делаем тут что-нибудь 
; используем переменную счетчика в ЕВХ, но не изменяем её! 
ІМС ЕВХ ; инкремент 
сһеск: 
СМР ЕВХ, 9 
JLE body 


Некоторые части цикла могут быть сгенерированы компилятором в другом no- 
рядке: 


Листинг 1.185: х86 


MOV [counter], 2 ; инициализация 
JMP label_check 
label_increment: 
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ADD [counter], 1 ; инкремент 
label check: 
CMP [counter], 10 
JGE exit 
; тело цикла 
; делаем тут что-нибудь 
; используем переменную счетчика в локальном стеке 
JMP label_increment 
exit: 


Обычно условие проверяется перед телом цикла, но компилятор может пере- 
строить цикл так, что условие проверяется после тела цикла. 


Это происходит тогда, когда компилятор уверен, что условие всегда будет 
истинно на первой итерации, так что тело цикла исполнится как минимум один 
раз: 


Листинг 1.186: х86 


MOV REG, 2 ; инициализация 
Боду: 
; тело цикла 
; делаем тут что-нибудь 
; используем переменную счетчика в ВЕС, но не изменяем её! 
ІМС REG ; инкремент 
СМР REG, 10 
JL body 


Используя инструкцию LOOP. Это редкость, компиляторы не используют её. Так 
что если вы её видите, это верный знак, что этот фрагмент кода написан вруч- 
ную: 


Листинг 1.187: х86 


; считать от 10 до 1 
МО\/ ЕСХ, 10 
роду: 
; тело цикла 
; Делаем тут что-нибудь 
; используем переменную счетчика в ЕСХ, но не изменяем её! 
LOOP body 


ARM. В этом примере регистр R4 выделен для переменной счетчика 


Листинг 1.188: АВМ 


MOV R4, 2 ; инициализация 
В check 
Боду: 
; тело цикла 
; делаем тут что-нибудь 
; используем переменную счетчика в R4, но не изменяем её! 
ADD R4,R4, #1 ; инкремент 
сһеск: 
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СМР В4, #19 
ВЕТ body 


1.22.5. Упражнения 


e Пр: //сһа11епдеѕ. ге/54 
e Пр: //сһа11епдеѕ. ге/55 
e http://challenges.re/56 
e http://challenges.re/57 


1.23. Еще кое-что о строках 


1.23.1. strlen() 


Ещё немного о циклах. Часто функция ѕїг1еп() 103 реализуется при помощи 
while(). Например, вот как это сделано в стандартных библиотеках MSVC: 


int my_strlen (const char ж str) 


{ 
const char жеоѕ = str; 
while( жеоѕ++ ) ; 
return( eos - str - 1); 
} 
int main() 
{ 
// test 
return my_strlen("hello!"); 
}; 
х86 


Неоптимизирующий М$\С 


Итак, компилируем: 


605$ = -4 ; size = 4 
2517$ = 8 ; size = 4 
_strlen PROC 
push ebp 
mov ebp, esp 
push ecx 
mov eax, DWORD PTR _str$[ebp] ; взять указатель на символ из "str" 


103 подсчет длины строки в Си 
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mov DWORD PTR _eos$[ebp], eax ; и переложить его в нашу локальную 
переменную "eos" 

$LN2@strlen_: 
mov ecx, DWORD PTR _eos$[ebp] ; ЕСХ=еоѕ 


; взять байт, на который указывает ECX и положить его 
; в EDX расширяя до 32-х бит, учитывая знак 


ПОМ5Х edx, BYTE РТВ [ecx] 


mov eax, DWORD PTR _eos$[ebp] ; ЕАХ=еоѕ 
add eax, 1 ; инкремент EAX 
mov DWORD PTR _eos$[ebp], eax ; положить eax назад B "eos" 
test edx, edx ; EDX ноль? 
те SHORT $LN1@strlen_ ; да, то что лежит B EDX это ноль, 
выйти из цикла 
јтр SHORT $LN2@strlen_ ; продолжаем цикл 
$LN1@strlen_: 


; здесь мы вычисляем разницу двух указателей 


mov eax, DWORD PTR _eos$[ebp] 
sub eax, DWORD PTR _str$[ebp] 


sub eax, 1 ; отнимаем от разницы еще единицу и 
возвращаем результат 

mov esp, ebp 

pop ebp 

ret 0 


_strlen_ ЕМОР 


Здесь две новых инструкции: МО\/5Х и ТЕЅТ. 


О первой. MOVSX предназначена для того, чтобы взять байт из какого-либо Mme- 
ста в памяти и положить его, в нашем случае, в регистр EDX. Но регистр EDX — 
32-битный. MOVSX означает МОМ with Sign-Extend. Оставшиеся биты с 8-го по 
31-й МО\У$Х сделает единицей, если исходный байт в памяти имеет знак минус, 
или заполнит нулями, если знак плюс. 


И вот зачем всё это. 


По умолчанию в MSVC и ССС тип char — знаковый. Если у нас есть две перемен- 
ные, одна Char, а другая int (int тоже знаковый), и если в первой переменной 
лежит -2 (что кодируется как 0хЕЕ) и мы просто переложим это в int, то там бу- 
дет 0х000000ЕЕ, а это, с точки зрения int, даже знакового, будет 254, но никак 
не -2. -2 в переменной int кодируется как 9хЕЕЕЕЕЕЕЕ. Для того чтобы значение 
ОхЕЕ из переменной типа char переложить в знаковый int с сохранением всего, 
нужно узнать его знак и затем заполнить остальные биты. Это делает MOVSX. 


Хотя конкретно здесь компилятору вряд ли была особая надобность хранить 
значение char в регистре EDX, а не его восьмибитной части, скажем DL. Но nony- 
чилось, как получилось. Должно быть register allocator компилятора сработал 
именно так. 


Позже выполняется TEST EDX, EDX. Об инструкции TEST читайте в разделе о 
битовых полях (1.28 (стр. 389)). Конкретно здесь эта инструкция просто про- 
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веряет состояние регистра EDX на 0. 
Неоптимизирующий ССС 


Попробуем ССС 4.4.1: 


public strlen 


strlen proc near 
eos = dword ptr -4 
arg 0 = dword ptr 8 
push ebp 
mov ebp, esp 
sub esp, 10h 
mov eax, [ebp+arg_0] 
mov [ерр+еоѕ], eax 


loc _80483F0: 
mov eax, [ebp+eos] 
movzx eax, byte ptr [eax] 
test al, al 


setnz al 
add [ebp+eos], 1 
test al, al 
jnz short loc 80483Ғ0 
mov edx, [ерр+еоѕ] 
mov eax, [ebp+arg_0] 
mov ecx, edx 
sub ecx, eax 
mov eax, ecx 
sub eax, 1 
leave 
retn 

strlen endp 


Результат очень похож Ha MSVC, только здесь используется MOVZX, a не MOVSX. 
МО\У7Х означает МОМ with 2его-Ехїепа. Эта инструкция перекладывает какое- 
либо значение в регистр и остальные биты выставляет в 0. Фактически, пре- 
имущество этой инструкции только в том, что она позволяет заменить две ин- 
струкции сразу: 

хог eax, eax / mov al, [...]. 


С другой стороны, нам очевидно, что здесь можно было бы написать BOT так: 

mov al, byte ptr [eax] / test al, al — это тоже самое, хотя старшие би- 
ты ЕАХ будут «замусорены». Но будем считать, что это погрешность компиля- 
тора — он не смог сделать код более экономным или более понятным. Строго 
говоря, компилятор вообще не нацелен на то, чтобы генерировать понятный 
(для человека) код. 


Следующая новая инструкция для нас — SETNZ. В данном случае, если в Аі был 
не ноль, то test al, al выставит флаг ZF в 0, а SETNZ, если 2Е==0 (NZ значит 
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not zero) выставит 1 в AL. Смысл этой процедуры в том, что если AL не ноль, 
выполнить переход на \10с_80483Е0. Компилятор выдал немного избыточный 
код, но не будем забывать, что оптимизация выключена. 


Оптимизирующий М$\С 


Теперь скомпилируем всё то же самое в MSVC 2012, но с включенной оптими- 
зацией (/0х): 


Листинг 1.189: Оптимизирующий М5\С 2012 /ОрО 


_5$їг$ = 8 ; 5126 = 4 
_strlen PROC 
mov edx, DWORD PTR _str$[esp-4] ; EDX -> указатель на строку 
mov eax, edx ; переложить B EAX 
$LL2@strlen: 
mov cl, BYTE PTR [eax] ; CL = *EAX 
inc eax ; ЕАХ++ 
test cl, сї ; CL==0? 
jne SHORT $LL2@strlen ; нет, продолжаем цикл 
sub eax, edx ; вычисляем разницу указателей 
дес еах ; декремент EAX 
геї 0 


_strlen ЕМОР 


Здесь всё попроще стало. Но следует отметить, что компилятор обычно может 
так хорошо использовать регистры только на небольших функциях с неболь- 
шим количеством локальных переменных. 


ІМС/рЕС— это инструкции инкремента-декремента. Попросту говоря — увели- 
чить на единицу или уменьшить. 
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Оптимизирующий MSVC + OllyDbg 


Можем попробовать этот (соптимизированный) пример в OllyDbg. Вот самая 
первая итерация: 


CPU - тат thread, module ех1 ВТ =. 
$ Я A 


"hellot” 


"hellot” 


1006 


ØLFFFFFFFF) 
ØLFFFFFFFF) 
ØLFFFFFFFF) 
ØLFFFFFFFF) 
ТЕРООЯВВ(ЕЕЕ) 
ØLFFFFFFFF) 


ERROR_SUCCESS 


СС ] айай (NO, NB, E, ВЕ, NS, РЕ, GE, LE) 
[813838881=68 ('Һ”) В а а 

СЕ=ЕЗ 

Jump from 1381006 

Loop 01381006: loop variable ЕЯХ( +1) 


RETURN from ex1.0 a 
ASCII ”hellot” 
RETURN from ex1.0 


{пег to next Sig 


Рис. 1.58: OllyDbg: начало первой итерации 


Видно, что OllyDbg обнаружил цикл и, для удобства, свернул инструкции тела 
цикла в скобке. 


Нажав правой кнопкой на EAX, можно выбрать «Follow іп Dump» и позиция в 
окне памяти будет как раз там, где надо. 


Здесь мы видим в памяти строку «Пе|Но!». После неё имеется как минимум 1 
нулевой байт, затем случайный мусор. Если OllyDbg видит, что в регистре Co- 
держится адрес какой-то строки, он показывает эту строку. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


266 


Нажмем Е8 (сделать шаг, не входя в функцию) столько раз, чтобы текущий 
адрес снова был в начале тела цикла: 


CPU - main thread, module ex1 


8865424 04 МОУ EDX, DWORD РТВ 55: САКБ. 17 
МОУ EAX, EDX 
MOV CL,BYTE PTR 0$: [EAX] 


L, CL 


[5 

УМ SHORT 01381006 

SUB EAX, EDX 

DEC EAX 

IN EIP 01381006 

IN Св Е ЕЕЕЕЕЕЕЕ) 
ЕЕЕЕЕЕЕЕ) 
FFFFFFFF) 


(NO, NB, МЕ, A, 


CL=68 ('һ') 
Jump from 1281906 
Loop 01381006: loop variable ЕЯХ(+1) 


ЇЧ from 
II "hello 
RETURN from ex1.0 


to nest б» 


Рис. 1.59: OllyDbg: начало второй итерации 


Видно, что ЕАХ уже содержит адрес второго символа в строке. 
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Будем нажимать Е8 достаточное количество раз, чтобы выйти из цикла: 


CPU - тат thread, module ex1 10 хі 
Reg A 


$ 865424 04 МОУ EDX, DWORD PTR 55: САКБ. 1] 
МОУ EAX, EDX 
MOV CL,BYTE PTR DS:[EAX] 

С EAX 


SCII hellot” 


990 


ØLFFFFFFFF) 
@(ЕЕЕЕЕЕЕРЕ) 
@(ЕЕЕЕЕЕЕЕ) 
@(ЕЕЕЕЕЕРЕ) 
ТЕЕППӘЙЙ(ЕЕЕ) 
@ГЕРЕЕЕЕРЕ) 


›с-югчрютсо т тттттт 


оїп%ег to пен 


Рис. 1.60: OllyDbg: сейчас будет вычисление разницы указателей 


Увидим, что ЕАХ теперь содержит адрес нулевого байта, следующего сразу 
за строкой плюс 1 (потому что ІМС ЕАХ исполнился вне зависимости от того, 
выходим мы из цикла, или нет). 


А EDX Tak и не менялся — он всё ещё указывает на начало строки. Здесь сейчас 
будет вычисляться разница между этими двумя адресами. 
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Инструкция SUB исполнилась: 


CPU - main thread, module ех1 


$ 865424 84 MOU EDX, DWORD РТВ 55: САКБ. 17 
. МОУ EAX, EDX 

MOY СЕ, BYTE РТВ 05: СЕАХЈ 
Е EAX 


"hellot” 


CL, CL 
JNZ о 81381886 


ОВЕ 


В(ЕЕЕЕЕЕЕЕ) 
@(ЕЕЕЕЕЕЕЕ) 
@(ЕЕЕЕЕЕРЕ) 
ØLFFFFFFFF) 
TEFDDØOOL FFF) 
ØLFFFFFFFF) 


т] 


Тр 


Й ASCII "Һе 10%" 
/$88| RETURN from ені. 


р. Роіптег то пент ы» 


Рис. 1.61: OllyDbg: сейчас будет декремент EAX 


Разница указателей сейчас в регистре ЕАХ — 7. 


Действительно, длина строки «hello!» — 6, но вместе с нулевым байтом — 7. 
Но ѕіг1еп() должна возвращать количество ненулевых символов в строке. Так 
что сейчас будет исполняться декремент и выход из функции. 


Оптимизирующий ССС 


Попробуем ССС 4.4.1 с включенной оптимизацией (ключ -03): 


public strlen 


strlen proc near 
arg 0 = dword ptr 8 
push ebp 
mov ebp, esp 
mov ecx, [ebp+arg_0] 
mov eax, ecx 


loc 8048418: 
movzx edx, byte ptr [eax] 
add eax, 1 
test dl, dl 
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jnz short loc 8048418 
not ecx 
add eax, ecx 
pop ebp 
retn 
strlen endp 


Здесь ССС не очень отстает от MSVC за исключением наличия MOVZX. 


Впрочем, MOVZX здесь явно можно заменить на 
mov dl, byte ptr [eax]. 


Но возможно, компилятору ССС просто проще помнить, что у него под nepe- 
менную типа char отведен целый 32-битный регистр EDX и быть уверенным в 
том, что старшие биты регистра не будут замусорены. 


Далее мы видим новую для нас инструкцию МОТ. Эта инструкция инвертирует 
все биты в операнде. Можно сказать, что здесь это синонимично инструкции 
XOR ECX, Offffffffh. МОТ и следующая за ней инструкция ADD вычисляют раз- 
ницу указателей и отнимают от результата единицу. Только происходит это 
слегка по-другому. Сначала ECX, где хранится указатель на str, инвертируется 
и от него отнимается единица. 


Иными словами, в конце функции, после цикла, происходит примерно следую- 
щее: 


есх=51г; 
еах=еоѕ; 

есх= (-есх)-1; 
еах=еах+есх 
return eax 


... ЧТО эквивалентно: 


есх=51г; 
еах=еоѕ; 
еах=еах-есх; 
еах=еах-1; 
return eax 


Но почему ССС решил, что так будет лучше? Трудно угадать. Но наверное, оба 
эти варианта работают примерно одинаково в плане эффективности и скоро- 
сти. 


ARM 
32-битный ARM 


Неоптимизирующий Xcode 4.6.3 (LLVM) (Режим ARM) 
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Листинг 1.190: Неоптимизирующий Xcode 4.6.3 (ШММ) (Режим ARM) 


_strlen 


eos -8 
str = -4 


SUB SP, SP, #8 ; выделить 8 байт для локальных переменных 
STR RO, [SP,#8+str] 
LDR RO, [SP,#8+str] 
STR RO, [5Р,#8+ео5] 


loc 2СВ8 ; CODE XREF: _strlen+28 
LDR RO, [5Р,#8+ео5] 
ADD R1, RO, #1 
STR R1, [5Р,#8+еоѕ] 
LDRSB RO, [А0] 
CMP RO, #0 
BEQ loc_2CD4 
B loc_2CB8 

loc_2CD4 ; CODE XREF: 51г1еп+24 
LDR RO, [5Р,#8+еоѕ] 
LDR R1, [SP,#8+str] 
SUB RO, RO, R1 ; RO=eos-str 
SUB RO, RO, #1 ; RO=R0-1 
ADD SP, SP, #8 ; освободить выделенные 8 байт 
ВХ LR 


Неоптимизирующий ШММ генерирует слишком много кода. Зато на этом Npn- 
мере можно посмотреть, как функции работают с локальными переменными в 
стеке. 


В нашей функции только локальных переменных две — это два указателя: ео< 
и str. В этом листинге сгенерированном при помощи IDA мы переименовали 
уаг 8 и маг 4 в eos и str вручную. 


Итак, первые несколько инструкций просто сохраняют входное значение в обо- 
их переменных Str и eos. 


С метки /ос_2СВ8 начинается тело цикла. 


Первые три инструкции в теле цикла (LDR, ADD, STR) загружают значение eos 
в А. Затем происходит инкремент значения и оно сохраняется в локальной 
переменной еоѕ расположенной в стеке. 


Следующая инструкция LDRSB RO, [RO] («Load Register Signed Byte») загружа- 
ет байт из памяти по адресу RO, расширяет ero до 32-бит считая его знаковым 
(signed) и сохраняет в RO 15%. Это немного похоже на инструкцию МО\5Х в x86. 
Компилятор считает этот байт знаковым (signed), потому что тип char по стан- 
дарту Си — знаковый. 


Об этом уже было немного написано (1.23.1 (стр. 262)) в этой же секции, но 
посвященной х86. 


104 Компилятор Кей считает тип char знаковым, как и М$\С и ССС. 
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Следует также заметить, что в АВМ нет возможности использовать 8-битную 
или 16-битную часть регистра, как это возможно в х86. 


Вероятно, это связано с тем, что за х86 тянется длинный шлейф совместимости 
со своими предками, вплоть до 16-битного 8086 и даже 8-битного 8080, а АВМ 
разрабатывался с чистого листа как 32-битный В5С-процессор. 


Следовательно, чтобы работать с отдельными байтами на АВМ, так или иначе 
придется использовать 32-битные регистры. 


Итак, LDRSB загружает символы из строки в RO, по одному. 
Следующие инструкции СМР и ВЕО проверяют, является ли этот символ 0. 


Если не 0, то происходит переход на начало тела цикла. А если 0, выходим из 
цикла. 


В конце функции вычисляется разница между ео» и Str, вычитается единица, 
и вычисленное значение возвращается через RO. 


М.В. В этой функции не сохранялись регистры. По стандарту регистры RO-R3 
называются также «scratch registers». Они предназначены для передачи ap- 
гументов и их значения не нужно восстанавливать при выходе из функции, 
потому что они больше не нужны в вызывающей функции. Таким образом, их 
можно использовать как захочется. 


А так как никакие больше регистры не используются, то и сохранять нечего. 


Поэтому управление можно вернуть вызывающей функции простым перехо- 
дом (ВХ) по адресу в регистре LR. 


Оптимизирующий Xcode 4.6.3 (ШУМ) (Режим Thumb) 


Листинг 1.191: Оптимизирующий Xcode 4.6.3 (И ММ) (Режим Thumb) 


_strlen 


MOV R1, RO 
loc_2DF6 

LDRB.W R2, [R1],#1 

CMP R2, #0 

BNE loc_2DF6 

MVNS RO, RO 

ADD RO, R1 

BX LR 


Оптимизирующий LLVM решил, что под переменные ео и Str выделять место 
в стеке не обязательно, и эти переменные можно хранить прямо в регистрах. 


Перед началом тела цикла str будет находиться в RO, а eos — в В1. 


Инструкция LDRB.W R2, [В1],#1 загружает в R2 байт из памяти по адресу R1, 
расширяя его как знаковый (ѕідпеа), до 32-битного значения, но не только это. 
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#1 в конце инструкции означает «Роѕі-іпаехеа addressing», т.е. после загрузки 
байта к В1 добавится единица. 


Читайте больше об этом: 1.39.2 (стр. 565). 


Далее в теле цикла можно увидеть СМР и ВМЕ!®°. Они продолжают работу цикла 
до тех пор, пока не будет встречен 0. 


После конца цикла М\№$196 (инвертирование всех бит, МОТ в х86) и Арр вычис- 
ЛЯЮТ eos – str — 1. На самом деле, эти две инструкции вычисляют RO = str + eos, 
что эквивалентно тому, что было в исходном коде. Почему это так, уже было 
описано чуть раньше, здесь (1.23.1 (стр. 269)). 


Вероятно, ШММ, как и ССС, посчитал, что такой код может быть короче (или 
быстрее). 


Оптимизирующий Кей 6/2013 (Режим АВМ) 


Листинг 1.192: Оптимизирующий Кей 6/2013 (Режим АВМ) 


_strlen 
MOV R1, RO 


loc_2C8 
LDRB R2, [R1], #1 
CMP R2, #0 
SUBEQ RO, R1, RỌ 
SUBEQ RO, RO, #1 
BNE loc_2C8 
BX LR 


Практически то же самое, что мы уже видели, за тем исключением, YTO выра- 
жение str - eos - 1 может быть вычислено не в самом конце функции, а прямо в 
теле цикла. 


Суффикс -EQ означает, что инструкция будет выполнена только если операн- 
ды в исполненной перед этим инструкции СМР были равны. 


Таким образом, если в В будет 0, обе инструкции 50ВЕО исполнятся и резуль- 
тат останется в RO. 


АКМ64 


Оптимизирующий ССС (Linaro) 4.9 


my_strlen: 
mov х1, x0 


105 (РомегРС, ARM) Branch if Not Equal 
106MoVe Not 
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; X1 теперь временный регистр (eos), работающий, как курсор 
‚158: 

; загрузить байт из X1 в W2, инкремент X1 (пост-индекс) 

1агЫ м2, [х1],1 

; Compare and Branch if NonZero: сравнить WO с нулем, 

; перейти на .L58 если не ноль 

cbnz w2, .158 

; вычислить разницу между изначальным указателем 

; В ХО и текущим адресом в Х1 


sub x0, x1, x0 

; декремент младших 32-х бит результата 
sub w0, м0, #1 

ret 


Алгоритм такой же как ив 1.23.1 (стр. 264): найти нулевой байт, затем вычис- 
лить разницу между указателями, затем отнять 1 от результата. Комментарии 
добавлены автором книги. 


Стоит добавить, что наш пример имеет ошибку: ту ѕ1г1еп() возвращает 32- 
битный int, тогда как должна возвращать size_t или иной 64-битный тип. 


Причина в том, что теоретически, strlen () можно вызывать для огромных бло- 
ков в памяти, превышающих 4СВ, так что она должна иметь возможность вер- 
нуть 64-битное значение на 64-битной платформе. 


Так что из-за моей ошибки, последняя инструкция SUB работает над 32-битной 
частью регистра, тогда как предпоследняя SUB работает с полными 64-битными 
частями (она вычисляет разницу между указателями). 


Это моя ошибка, но лучше оставить это как есть, как пример кода, который 
возможен в таком случае. 


Неоптимизирующий ССС (Linaro) 4.9 


my_strlen: 

; пролог функции 
sub 5р, sp, #32 

; первый аргумент (str) будет записан в [5р,8] 
str x0, [sp,8] 
ldr x0, [sp,8] 

; скопировать переменную "str" B "eos" 


str x0, [sp,24] 
nop 
. L62: 
; е05++ 
tdr хө, [5р,24] ; загрузить "eos" в ХӨ 
ааа х1, х0, 1 ; инкремент ХӨ 
str х1, [$р,24] ; сохранить ХӨ в "eos" 


; загрузить байт из памяти по адресу в ХӨ в М0 
1агь м0, [x0] 

; это ноль? (WZR это 32-битный регистр всегда содержащий ноль) 
стр м0, миг 
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; переход если не ноль (Branch Not Equal) 
рпе . L62 
; найден нулевой байт. вычисляем разницу. 
; загрузить "еоѕ" в Х1 
1аг х1, [5р,24] 
; загрузить "str" в ХӨ 
ldr x0, [sp,8] 
; вычислить разницу 


sub x0, x1, x0 
; декремент результата 

sub w0, м0, #1 
; эпилог функции 

ааа Ssp, Sp, 32 

ret 


Более многословно. Переменные часто сохраняются в память и загружаются 
назад (локальный стек). Здесь та же ошибка: операция декремента происхо- 
дит над 32-битной частью регистра. 


MIPS 
Листинг 1.193: Оптимизирующий ССС 4.4.5 (IDA) 

my_strlen: 
; переменная "eos" всегда будет находиться в $\1: 

поме $1, $аб 
1ос 4: 
; загрузить байт по адресу в "eos" в $al: 

lb $al, O($v1) 

or $at, $zero ; load delay slot, NOP 


; если загруженный байт не ноль, перейти Ha loc 4: 
bnez $al, loc 4 
; B Любом случае, инкрементируем "eos": 
addiu $\1, 1 ; branch delay slot 
; цикл закончен. инвертируем переменную "str": 


пог $\0, $7его, $a0 
; $v0=-str-1 
jr $ra 
; возвращаемое значение = $v1 + $\0 = eos + ( -str-1 ) = eos - str - 1 


addu $v0, $v1, $v0 ; branch delay slot 


B MIPS нет инструкции NOT, но есть NOR — операция OR + NOT. 


Эта операция широко применяется в цифровой электронике!7. Например, KOC- 
мический компьютер Apollo Guidance Computer использовавшийся в программе 
«Аполлон» был построен исключительно на 5600 элементах NOR: [Jens Eickhoff, 
Onboard Computers, Onboard Software and Satellite Operations: Ап Introduction, 
(2011)]. Но элемент NOR не очень популярен в программировании. 


Так что операция МОТ реализована здесь как МОВ DST, $7ЕВО, SRC. 


107ОВ называют «универсальным элементом» 
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(добитовое инвертирование знакового числа это то же что и смена его знака 
с вычитанием 1 из результата.) 


Так что МОТ берет значение str и трансформирует его в -str - 1. 


Следующая операция сложения готовит результат. 


1.24. Замена одних арифметических инструкций 
на другие 
В целях оптимизации одна инструкция может быть заменена другой, или даже 


группой инструкций. Например, ADD и SUB могут заменять друг друга: строка 
18 в листинг.3.120. 


Более того, не всегда замена тривиальна. Инструкция LEA, несмотря на ориги- 
нальное назначение, нередко применяется для простых арифметических дей- 
ствий: .1.6 (стр. 1288). 


1.24.1. Умножение 
Умножение при помощи сложения 


Вот простой пример: 


unsigned int f(unsigned int а) 


{ 
}; 


return аж8; 


Умножение на 8 заменяется на три инструкции сложения, делающих то же 
самое. Должно быть, оптимизатор в MSVC решил, что этот код может быть 
быстрее. 


Листинг 1.194: Оптимизирующий MSVC 2010 


_ТЕХТ SEGMENT 


_а$ = 8 ; 51те = 4 

f PROC 
mov eax, DWORD PTR _а$[е<р-4] 
add eax, eax 
add eax, eax 
add eax, eax 
ret 0 

f ENDP 

_TEXT ENDS 

END 


Умножение при помощи сдвигов 


Ещё очень часто умножения и деления на числа вида 2” заменяются на ин- 
струкции сдвигов. 
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unsigned int #(ипѕідпеа int а) 


{ 
return a*4; 
}; 
Листинг 1.195: Неоптимизирующий MSVC 2010 
_а$ = 8 ; 51те = 4 
Ж PROC 
push ebp 
mov ebp, esp 
mov eax, DWORD PTR _a$[ebp] 
shl eax, 2 
pop ebp 
ret 0 
f ENDP 


Умножить на 4 это просто сдвинуть число на 2 бита влево, вставив 2 нулевых 
бита справа (как два самых младших бита). Это как умножить 3 на 100 — нужно 
просто дописать два нуля справа. 


Вот как работает инструкция сдвига влево: 


ЕЕЕ ЕО mo 
Добавленные биты справа — всегда нули. 


Умножение на 4 в АВМ: 


Листинг 1.196: Неоптимизирующий Кей 6/2013 (Режим ARM) 


f PROC 
LSL го, го, #2 
ВХ 1г 
ЕМОР 


Умножение на 4 в МІРЅ: 
Листинг 1.197: Оптимизирующий ССС 4.4.5 (IDA) 


jr $ra 
sll $у0, $a0, 2 ; branch delay slot 


SLL это «Shift Left Logical». 


Умножение при помощи сдвигов, сложений и вычитаний 


Можно избавиться от операции умножения, если вы умножаете на числа вроде 
7 или 17, и использовать сдвиги. 


Здесь используется относительно простая математика. 
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32-бита 


#include <stdint.h> 


int fl(int а) 


{ 
return a*7; 
}; 
int f2(int а) 
{ 
return a*28; 
}; 
int f3(int а) 
{ 
return а*17; 
}; 
х86 
Листинг 1.198: Оптимизирующий MSVC 2012 
; а*7 
_а$ = 8 
_ 11 PROC 
mov ecx, DWORD PTR _a$[esp-4] 
; ECX=a 
lea eax, DWORD PTR [ecx*8] 
; EAX=ECX*8 
sub eax, ecx 
; ЕАХ=ЕАХ-ЕСХ=ЕСХ*8 -ЕСХ=ЕСХ*7=а*7 
геї 0 
fl ENDP 
; a*28 
_а$ = 8 
_ 12 PROC 
mov ecx, DWORD РТВ _a$[esp-4] 
; ECX=a 
lea eax, DWORD PTR [ecx*8] 
; ЕАХ=ЕСХ*8 
sub eax, ecx 
; ЕАХ=ЕАХ-ЕСХ=ЕСХ*8 -ECX=ECX*7=a*7 
shl eax, 2 
; ЕАХ=ЕАХ<<2=(а*7)*4=а*28 
ret 0 
#2 ЕМОР 
‚ а*17 
_а$ = 8 
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_13 PROC 

mov eax, DWORD PTR _а$[е<р-4] 
; ЕАХ=а 

shl eax, 4 
; ЕАХ=ЕАХ<<4=ЕАХ*16=а*16 

add eax, DWORD PTR _а$[е<р-4] 
; EAX=EAX+a=a*16+a=a*17 

ret 0 
_13 ЕМОР 
ARM 


Keil, генерируя код для режима ARM, использует модификаторы инструкции, 
в которых можно задавать сдвиг для второго операнда: 


Листинг 1.199: Оптимизирующий Кей 6/2013 (Режим АВМ) 


; а*7 
| If1|| PROC 
RSB гО,гО,гО,!51 #3 
; RO=R0<<3-RO=R0*8 -R0=a*8-a=a*7 
BX tr 
ENDP 
; а*28 
1112|| PROC 
RSB r0O,r0O,rO,LSL #3 
; RO=R0<<3-R0O=R0*8-R0O=a*8-a=a*7 
LSL г0О,гО,#2 
; RO=R0<<2=R0*4=a*7*4=a*28 
ВХ tr 
ENDP 
; а*17 
| [#3 || PROC 
Арр г0, го, го,151 #4 
; В0=В0+В0<<4=В0+В0*16=В0*17=а*17 
ВХ 1г 
ЕМОР 


Но таких модификаторов в режиме Thumb нет. 


И он также не смог оптимизировать функцию 12 (): 


Листинг 1.200: Оптимизирующий Keil 6/2013 (Режим Thumb) 


; а*7 
[11|] PROC 

LSLS г1,г0,#3 
; К1=К0<<3З=а<<3=а*8 

50В5 го, г1, гө 
; RO=R1-R0=a*8-a=a*7 

ВХ tr 
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ЕМОР 
; а*28 
| [#2 || PROC 

MOVS г1,#0х1с ; 28 
; В1=28 

MULS го, г1, гө 
; RO=R1*R0=28*a 

ВХ tr 

ENDP 
; а*17 
| [#3 || PROC 

LSLS г1,г0,#4 
; В1=К0<<4=В0*16=а*16 

ADDS го, го, г1 
; RO=R0+R1=a+a*16=a*17 

ВХ tr 

ENDP 
MIPS 

Листинг 1.201: Оптимизирующий ССС 4.4.5 (IDA) 
fl: 
sll $\0, $a0, З 
; $v0 = $a0<<3 = $a0*8 
jr $ra 


subu $v0, $a0 ; branch delay slot 
; $v0 = $v0-$a0 = $a0*8-$a0 = $a0*7 


_ 12: 

sll $\0, $a0, 5 
; $v0 = $a0<<5 = $a0*32 

sll $a0, 2 
; $a0 = $a0<<2 = $a0*4 

jr $ra 


subu $v0, $a0 ; branch delay slot 
; $v0 = $a0*32-$a0*4 = $a0*28 


f3: 

sll $у0, $a0, 4 
; $0 = $a0<<4 = $a0*16 

jr $ra 


addu $v0, $a0 ; branch delay slot 
; $v0 = $a0*16+$a0 = $а0*17 


64-бита 
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#include <stdint.h> 


int64 t fl(int64 t a) 


{ 
return a*7; 
}; 
int64 t f2(int64 t а) 
{ 
return a*28; 
}; 
int64 t #3(1п+164 t а) 
{ 
return a*17; 
}; 
x64 
Листинг 1.202: Оптимизирующий MSVC 2012 
‚ а*7 
fl: 
lea rax, [0+rdi*8] 
; RAX=RDI*8=a*8 
sub rax, rdi 
; RAX=RAX-RDI=a*8-a=a*7 
ret 
; а*28 
12: 
lea rax, [0+rdi*4] 
; RAX=RDI*4=a*4 
sal rdi, 5 
; RDI=RDI<<5=RDI*32=a*32 
sub rdi, rax 
; RDI=RDI -RAX=a*32-a*4=a*28 
mov rax, rdi 
ret 
; а*17 
f3: 
mov rax, rdi 
sal rax, 4 
; RAX=RAX<<4=a* 16 
add rax, rdi 
; RAX=a*16+a=a*17 
ret 
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АКМ64 


ССС 4.9 для ARM64 также очень лаконичен благодаря модификаторам сдвига: 


Листинг 1.203: Оптимизирующий ССС (Linaro) 4.9 ARM64 


; а*7 
11: 
151 х1, x0, 3 
; Х1=Х0<<3=Х0*8=а*8 
sub x0, x1, x0 
; X0=X1-X0=a*8-a=a*7 
ret 
; а*28 
f2; 
151 х1, x0, 5 
; Х1=Х0<<5=а*32 
sub x0, x1, x0, lsl 2 
; Х0=Х1-Х0<<2=а*32-а<<2=а*32-а*4=а*28 
геї 
а*17 
f3: 
add x0, x0, x0, lsl 4 
; X0=X0+X0<<4=a+a*16=a*17 
ret 


Алгоритм умножения Бута 


Когда-то компьютеры были большими и дорогими настолько, что некоторые 
не имели поддержки операции умножения в CPU, например Data General Nova. 
И когда операция умножения была нужна, она обеспечивалась программно, 
например, при помощи алгоритма Бута (Booth’s multiplication algorithm). Это 
алгоритм перемножения чисел используя только операции сложения и сдвига. 


То что ныне делают компиляторы для оптимизации — это не совсем то, но цель 
(умножение) и средства (замена более быстрыми операциями) те же. 
1.24.2. Деление 

Деление используя сдвиги 


Например, возьмем деление на 4: 


unsigned int #(ипѕідпеа int а) 


{ 
}; 


геїигп а/4; 


Имеем в итоге (MSVC 2010): 
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Листинг 1.204: М$\УС 2010 


_а$ = 8 ; size = 4 

f PROC 
mov eax, DWORD PTR _a$[esp-4] 
shr eax, 2 
ret 0 

f ENDP 


Инструкция SHR (SHift Right) в данном примере сдвигает число на 2 бита впра- 
во. При этом освободившиеся два бита слева (т.е. самые старшие разряды) вы- 
ставляются в нули. А самые младшие 2 бита выкидываются. Фактически, эти 
два выкинутых бита — остаток от деления. 


Инструкция SHR работает так же как и SHL, только в другую сторону. 


Ca КЕШЕЛЕ ЕЕЕ 
Для того, чтобы это проще понять, представьте себе десятичную систему счис- 


ления и число 23. 23 можно разделить на 10 просто откинув последний разряд 
(З — это остаток от деления). После этой операции останется 2 как частное. 


Так что остаток выбрасывается, но это нормально, мы все-таки работаем с це- 
лочисленными значениями, а не с вещественными! 


Деление на 4 в АКМ: 


Листинг 1.205: Неоптимизирующий Кей 6/2013 (Режим АВМ) 


f PROC 
LSR го, го, #2 
ВХ 1г 
ЕМОР 


Деление на 4 в МІРЅ: 


Листинг 1.206: Оптимизирующий ССС 4.4.5 (IDA) 


jr $ra 
srl $v0, $a0, 2 ; branch delay slot 


Инструкция SRL это «Shift Right Logical». 


1.24.3. Упражнение 
e Пр: //сһа11епдеѕ. ге/59 
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1.25. Работа с ЕРО 


FPU — блок в процессоре работающий с числами с плавающей запятой. 


Раньше он назывался «сопроцессором» и он стоит немного в стороне от СРО. 


1.25.1. IEEE 754 


Число с плавающей точкой в формате IEEE 754 состоит из знака, мантиссы"98 
и экспоненты. 


1.25.2. х86 


Перед изучением FPU в х86 полезно ознакомиться с тем как работают стековые 
машины или ознакомиться с основами языка Forth. 


Интересен факт, что в свое время (до 80486) сопроцессор был отдельным чи- 
пом на материнской плате, и вследствие его высокой цены, он не всегда при- 
сутствовал. Его можно было докупить и установить отдельно 199. Начиная с 
80486 ОХ в состав процессора всегда входит ЕРО. 


Этот факт может напоминать такой рудимент как наличие инструкции ЕМАІТ, 
которая заставляет СРО ожидать, пока РРО закончит работу. Другой рудимент 
это тот факт, что опкоды ЕРУ-инструкций начинаются с т.н. «еѕсаре»-опкодов 
(08. .РЕ) как опкоды, передающиеся в отдельный сопроцессор. 


FPU имеет стек из восьми 80-битных регистров: $5Т(0)..5Т (7). Для краткости, 
IDA и OllyDbg отображают ST(0) как ST, что в некоторых учебниках и доку- 
ментациях означает «Stack Тор» («вершина стека»). Каждый регистр может 
содержать число в формате IEEE 754. 


1.25.3. АКМ, MIPS, х86/х64 SIMD 


В ARM и MIPS FPU это не стек, а просто набор регистров, к которым можно 
обращаться произвольно, как к СРВ. 


Такая же идеология применяется в расширениях SIMD в процессорах х86/х64. 


1.25.4. Си/Си++ 


В стандартных Си/Си+ +имеются два типа для работы с числами с плавающей 
запятой: float (число одинарной точности, 32 бита) 110 и double (число двойной 
точности, 64 бита). 


108 дп сапа или fraction в англоязычной литературе 

109Например, Джон Кармак использовал в своей игре Doom числа с фиксированной запятой, xpa- 
нящиеся в обычных 32-битных СРК (16 бит на целую часть и 16 на дробную), чтобы Воот работал 
на 32-битных компьютерах без FPU, т.е. 80386 и 80486 SX. 

10формат представления чисел с плавающей точкой одинарной точности затрагивается в разде- 
ле Работа с типом float как со структурой (1.30.6 (стр. 478)). 
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B [Donald Е. Knuth, The Art of Computer Programming, Volume 2, 3rd ed., (1997)246] 
мы можем найти что single-precision означает, что значение с плавающей Toy- 
кой может быть помещено в одно [32-битное] машинное слово, а double-precision 
означает, что оно размещено в двух словах (64 бита). 


ССС также поддерживает тип long double (extended precision, 80 бит), но MSVC — 
нет. 


Несмотря на то, что float занимает столько же места, сколько и int Ha 32-битной 
архитектуре, представление чисел, разумеется, совершенно другое. 


1.25.5. Простой пример 


Рассмотрим простой пример: 


#include <stdio.h> 
double f (double a, double b) 
{ 

return а/3.14 + b*4.1; 
}; 
int main() 
{ 

printf ("%f\n", f(1.2, 3.4)); 
}; 
х86 
MSVC 


Компилируем в MSVC 2010: 
Листинг 1.207: MSVC 2010: f () 


CONST SEGMENT 

_ real@4010666666666666 DQ 04010666666666666r ; 4.1 
CONST ENDS 

CONST SEGMENT 

_ real@40091eb851eb851f DQ 040091eb851eb851fr ; 3.14 
CONST ENDS 

_TEXT SEGMENT 


_а$ = 8 ; size = 8 
_6$ = 16 ; size = 8 
_f PROC 

push ebp 

mov ebp, esp 


fld QWORD PTR а$[ебр] 


; текущее состояние стека: ST(0) = а 


fdiv ОМОАЮ РТВ _ геа\@40091е6851е6 851+ 
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; текущее состояние стека: 5Т(0) = результат деления а на 3.14 
fld QWORD PTR b$[ebp] 


; текущее состояние стека: ST(0) = b; 
; ST(1) = результат деления а на 3.14 


fmul  ОМОВО РТК __ геа\@4010666666666666 
; текущее состояние стека: 


; ST(0) = результат умножения b на 4.1; 
; 5Т(1) результат деления а на 3.14 


faddp ST(1), 5Т(0) 


; текущее состояние стека: $Т(0) = результат сложения 
рор ebp 
ret 0 

_f ЕМОР 


FLD берет 8 байт из стека и загружает их в регистр $Т(0), автоматически KOH- 
вертируя во внутренний 80-битный формат (extended precision). 


РОТ\У делит содержимое регистра ST(0) на число, лежащее по адресу 

__ г@а1@40091е6 851е6 851+ — там закодировано значение 3,14. Синтаксис ac- 
семблера не поддерживает подобные числа, поэтому мы там видим шестна- 
дцатеричное представление числа 3,14 в формате ІЕЕЕ 754. 


После выполнения РОТ\ в $Т(0) остается частное. 


Кстати, есть ещё инструкция РОТУР, которая делит 5Т(1) на 5Т(0), выталкива- 
ет эти числа из стека и заталкивает результат. Если вы знаете язык Forth, то 
это как раз оно и есть — стековая машина. 


Следующая FLD заталкивает в стек значение b. 
После этого в 57(1) перемещается результат деления, а в 5Т(0) теперь b. 


Следующий FMUL умножает b из 5Т(0) на значение 
__ real@4010666666666666 — там лежит число 4,1 — и оставляет результат в 
5Т(0). 


Самая последняя инструкция FADDP складывает два значения из вершины CTE- 
ка в 5Т(1) и затем выталкивает значение, лежащее в ST(0). Таким образом 
результат сложения остается на вершине стека в 5Т (0). 


Функция должна вернуть результат в 5Т(0), так что больше ничего здесь не 
производится, кроме эпилога функции. 
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MSVC + OllyDbg 


2 пары 32-битных слов обведены B стеке красным. Каждая пара — это числа 
двойной точности в формате IEEE 754, переданные из main(). 


Видно, как первая FLD загружает значение 1,2 из стека и помещает в регистр 
5Т(0): 


< 00202848 
0045 FLOD Qui CARG. 11 „ 
0С35 ПагаЕЕЙ РОТУ uono втв 05: ГӘҒР20001 FLOAT: аы ПРИ 
EE ; | К а “ы аййййййй 
Му е 8 0 @й16ЕЭНС 

@й16ЕЭНС 

29809891 

98273388 simple. ВЕРЕ. 

987210906 $ 1“р(е.В8ЕЕ1 


ES 9828 it В(ЕЕРЕЕЕЕЕ) 
CS 1923 В(ЕЕЕЕЕЕЕЕ) 
55 ӨӨ2В ØLFFFFFFFF) 
05 9928 В(ЕЕЕЕЕЕЕЕ) 
FS 0053 ТЕРООВВВ(ЕЕЕ) 
GS 9928 it @ГЕРЕРЕЕРЕ) 


LastErr @@8йЙй@@@й ERR 
80080296 ГТ 


FLOAT 


FLOAT 


3219 ES 
попа Err ð 


8023: 9921883 simple. ð 


56 OA 
FF FF РЕ ЕР ЕР FF FF FF 
FE FF FF FF 


RETURN from simpl: 


ASCII ”pN-” 


Рис. 1.62: OllyDbg: первая FLD исполнилась 


Из-за неизбежных ошибок конвертирования числа из 64-битного IEEE 754 B 80- 
битное (внутреннее в FPU), мы видим здесь 1,1999..., что очень близко к 1,2. 


Прямо сейчас EIP указывает на следующую инструкцию (FDIV), загружающую 
константу двойной точности из памяти. 


Для удобства, OllyDbg показывает её значение: 3,14. 
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Трассируем дальше. FDIV исполнилась, теперь 5Т(0) содержит 0,382...(част- 
ное): 


СРО - main thread, module simple 


ПОРР108 [$ БЫ РУЗН ЕВР 
OFF 19801 MOU ЕВР, ESP TE 
FLD ОМОЁО PTR 55: САКБ. 17 ASCII "нс" 
ЕОІЏ ООО PTR 05: [9222808] Б = 

ЕШ) QWORD PTR 55 


: [ARG. 3] 
а РИШ. QWORD РТВ 05: [95728081 
к Е 
а 91: 
99221018 э1мр1е.@@ЕЕЗ: 
ØFF1019 ШЕ : -00 
мр(е.8822188С 


it В(ЕЕЕЕЕЕЕЕ) 
В(ЕЕЕЕЕЕЕЕ) 

t В(ЕЕРЕЕЕЕЕ) 
В(ЕЕЕЕЕЕЕЕ) 

it ТЕЕПОЙЙЙ(ЕРЕ) 


IN 
PUSH_EBP В(ЕРЕЕЕЕЕЕ) 


MOV ЕВР,ЕЅР 

SUB ЕЗР,8 

FLOD QWORD PTR 05: СҒЕ20Е81 
FSTP_QWORD PTR $$S:[LOCAL.2] 
SUB ESP, 8 

FLD QWORD PTR DS:[CØFF20D8] 
FSTP QWORD PTR $$S:[LOCAL. 4] 
CALL 885-1888 

ADD ESP, 8 

ЕЅТР QWORD РТЕ S$S:[LOCAL.27 
PUSH OFFSET GOFF300G 
ТА 


о шогыр 


++ ж э ж ө э э э oan 


ЕС 
Last cmnd Øl 


RETURN from simpl 
ASCII ”pN-” 


а 
аййй@йййй 
8 

141 


б ©) © ® ©) б) © © б) 


Рис. 1.63: OllyDbg: РОТ\ исполнилась 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


288 


Третий шаг: вторая FLD исполнилась, загрузив в 5Т(0) 3,4 (мы видим прибли- 
женное число 3,39999...): 


СРО - тат thread, module simple 


РИ5Н ЕВР 

МОМ ЕВР,ЕЅР 

FLD QWORD PTR 55: АВВ. 17 
РОТУ QWORD PTR 05: [92228081 
FLD QWORD PTR 55: [ЯВб. 31 
ЕМО QI ТВ 05: [ØFF20C8] 
з С" 


В(ЕЕЕЕЕЕЕЕ) 
В(ЕЕЕЕЕЕЕЕ) 

с В(ЕЕЕРЕЕЕЕ) 
В(ЕЕЕЕЕЕЕЕ) 
тЕЕООӢЯВ(ЕҒҒ) 
В(ЕЕЕЕЕЕЕЕ) 


у сә т AnDY 


очогу отоо ттттттттт 


PUSH ЕВР 

MOV ЕВР,ЕЅР 

SUB ЕЗР,8 

FLO QWORD PTR DS:[ØFF20E0] 

FSTP_QWORD PTR $$S:[LOCAL.27 
SUB ESP, 8 

FLO QWORD PTR DS:[ØFF2008] 

001624 ЕЗТР QWORD РТВ $$: С_ОСАГ. 41 
ЕЗ CØFFFFFF |CALL 88521888 

3304 08 ADD ЕЅР,8 

ЕЅТР ОШОКО PTR 55: С_0СА.21 


м. 
т 
п 


‚|: 68 В838ЕЕ@В |РУЗН OFFSET 99723008 


1002008124. 100000000600080 =з emp 
ST=3. 3999999999999999110 Ет 
ЕСШ 027 
Last смпа 


ургы 
-Do 


RETURN from simpl 


RETURN from simpl 


ASCII ”pN-” 


Рис. 1.64: OllyDbg: вторая FLD исполнилась 


В это время частное провалилось B ST(1). EIP указывает на следующую ин- 
струкцию: ЕМИЕ. Она загружает константу 4,1 из памяти, так что OllyDbg тоже 
показывает её здесь. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Затем: FMUL исполнилась, теперь в 5Т(0) произведение: 


СРО - тат thread, module simple 


PUSH ЕВР 

MOU ЕВР,ЕЅР 

FLOD QWORD PTR 5$5:[НВЕб6.11 
РОГ QWORD PTR DS:[ØFF2000] 
FLD QWORD PTR 55: СЯВБ. 37 
FMUL QWORD РТВ DS:[ØFF2ØC8] 


simple. 00FF3388 
Е 


В(ЕЕЕЕЕЕЕЕ) 
@(ЕЕЕЕЕЕЕЕ) 

‚ В(ЕЕЕЕЕЕЕЕ) 

IN а а Я(ЕЕЕЕЕЕЕЕ) 

PUSH ЕВР У 5 t 7ЕРО0898( FFF) 


MOU EBP, ESP а 6 ‚ @ГЕЕЕЕЕЕЕЕ) 
SUB ЕЗР,8 

FLD QWORD PTR 05: [9Р228Е8 1 
ЕЅТР ОШОКО PTR $$: СС_0САЯ. 21 
SUB ЕЗР,8 

FLO QWORD PTR 05: [92228081 
FSTP QWORD PTR S$S:[LOCAL. 4] 
ЕВ CØFFFFFF |CALL 9885-1888 


++ ж ж э э ө э э ол 


ӨЗС4_@8 ADD Е5$Р,8 
001624 FSTP QWORD РТВ SS:[LOCAL. 2] 
68 ВАЗАЕЕЙЯ PUSH OFFSET 2923880 


27-15:939999959999997730 
51(1):8.3821656850955413719 


оо 
т гч 
~ 20 


>= 
© 
4 


па йй йй 


RETURN from simpl: 
ASCII ”pN-” 


Рис. 1.65: OllyDbg: FMUL исполнилась 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Затем: FADDP исполнилась, теперь в 5Т(0) сумма, а 5Т(1) очистился: 


CPU - main thread, module simple 10 х| 
О ї a 


PUSH ЕВР 

MOU EBP, ESP 

FLO QWORD PTR SS:[ARG.1] 
ЕПТ QWORD PTR 05: [92228081 
FLOD QWORD PTR SS:[ARG.3] 
FMUL QWORD РТВ DS:[ØFF20C8] 
FADDP 5Т(1),5Т 

POP EBP 


@(ЕЕЕЕЕЕЕЕ) 
@(ЕЕЕЕЕЕЕЕ) 
В(ЕЕЕЕЕЕЕЕ) 

it В(ЕЕЕЕЕЕЕЕ) 


5а it 7ЕЕ00888(ЕЁЕ} 
ЦОН ЕВР 2928 32bit В(ЕЕЕЕЕЕЕЕ) 
SUB ЕЅР,8 
FLD ОШОВП РТВ 05: [9ЕЕ28ЕВ] 
FSTP_QWORD РТВ 55: (4ОСАЁ.21 
SUB ЕЅР,8 
FLD ОШОВП PTR 05: [9228081 
ЕЅТР QWORD РТВ 55: ССОСАг. 41 
ЕВ СВРЕРЕЕЕ |CALL ВАҒҒ190а 
8364 08 ADD ЕЗР,8 
FSTP ОМОРО PTR SS:[LOCAL.21 
PUSH OFFSET ØØFF3000 


Top of stack Г9816РАС1=0016Р954 
EBP=0016F3AC 


RETURN from simpl 
FF FF FF 


й1 ай йй В 5 Ө 2 “Беж 
Hi- hN- 
RETURN from simpl 
ASCII ”pN-” 


Рис. 1.66: OllyDbg: FADDP исполнилась 


Сумма остается B ST (0) потому что функция возвращает результат своей pa- 
боты через 5Т(0). 


Позже та1п() возьмет это значение оттуда. 
Мы также видим кое-что необычное: значение 13,93...теперь находится в 57 (7). 
Почему? 


Мы читали в этой книге, что регистры в ЕРО представляют собой стек: 1.25.2 
(стр. 283). Но это упрощение. Представьте, если бы в железе было бы так, 
как описано. Тогда при каждом заталкивании (или выталкивании) в стек, все 
остальные 7 значений нужно было бы передвигать (или копировать) в сосед- 
ние регистры, а это слишком затратно. 


Так что в реальности у ЕРО есть просто 8 регистров и указатель (называемый 
ТОР), содержащий номер регистра, который в текущий момент является «вер- 
шиной стека». 


При заталкивании значения в стек регистр ТОР меняется, и указывает на сво- 
бодный регистр. Затем значение записывается в этот регистр. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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При выталкивании значения из стека процедура обратная. Однако освобож- 
денный регистр не обнуляется (наверное, можно было бы сделать, чтобы об- 
нулялся, но это лишняя работа и работало бы медленнее). Так что это мы здесь 
и видим. Можно сказать, что РАБОР сохранила сумму, а затем вытолкнула один 
элемент. 


Но в реальности, эта инструкция сохранила сумму и затем передвинула ре- 
гистр ТОР. 


Было бы ещё точнее сказать, что регистры ЕРО представляют собой кольцевой 
буфер. 


GCC 


GCC 4.4.1 (с опцией -03) генерирует похожий код, хотя и C некоторой разницей: 


Листинг 1.208: Оптимизирующий ССС 4.4.1 


public f 
f proc near 
arg 0 = qword ptr 8 
arg_8 = qword ptr 10h 
push ebp 
fld ds:dbl 8048608 ; 3.14 
; состояние стека сейчас: ST(0) = 3.14 
mov ebp, esp 
fdivr [ebp+arg_0] 
; состояние стека сейчас: ST(0) = результат деления 
fld ds:dbl 8048610 ; 4.1 
; состояние стека сейчас: ST(0) = 4.1, ST(1) = результат деления 
fmul [ebp+arg_8] 
; состояние стека сейчас: ST(0) = результат умножения, ST(1) = результат 
деления 
рор ebp 
Ғааар st(1), st 
; состояние стека сейчас: ST(0) = результат сложения 
retn 
f endp 


Разница в том, что в стек сначала заталкивается 3,14 (B ST(0)), а затем значе- 
ние из агд 0 делится на то, что лежит в регистре ST(0). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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РОТ\УВ означает Reverse Divide — делить, поменяв делитель и делимое места- 
ми. Точно такой же инструкции для умножения нет, потому что она была бы 
бессмысленна (ведь умножение операция коммутативная), так что остается 
только FMUL без соответствующей ей -R инструкции. 


FADDP не только складывает два значения, но также и выталкивает из стека 
одно значение. После этого в 57(0) остается только результат сложения. 


ARM: Оптимизирующий Xcode 4.6.3 (ШУМ) (Режим АВМ) 


Пока в ARM не было стандартного набора инструкций для работы с числа- 
ми с плавающей точкой, разные производители процессоров могли добавлять 
свои расширения для работы с ними. Позже был принят стандарт VFP (Vector 
Floating Point). 


Важное отличие от X86 в TOM, что там вы работаете с ЕРО-стеком, а здесь стека 
нет, вы работаете просто с регистрами. 


Листинг 1.209: Оптимизирующий Xcode 4.6.3 (ШММ) (Режим ARM) 


f 
VLDR D16, =3.14 
VMOV 017, RO, R1 ; загрузить "a" 
VMOV D18, R2, R3 ; загрузить "b" 
VDIV.F64 016, 017, 016 ; a/3.14 
VLDR D17, =4.1 
VMUL. F64 D17, D18, D17 ; b*4.1 
VADD. F64 D16, D17, D16 ; + 
VMOV RO, R1, D16 
BX LR 
dbl_2C98 DCFD 3.14 ; DATA XREF: f 
dbl_2CA0 DCFD 4.1 ; DATA XREF: f+10 


Итак, здесь мы видим использование новых регистров с префиксом D. 


Это 64-битные регистры. Их 32 и их можно использовать для чисел с плаваю- 
щей точкой двойной точности (double) и для SIMD (в ARM это называется NEON). 


Имеются также 32 32-битных 5-регистра. Они применяются для работы с чис- 
лами с плавающей точкой одинарной точности (float). 


Запомнить легко: р-регистры предназначены для чисел доцЫе-точности, а S- 
регистры — для чисел ѕіпдіе-точности. 


Больше об этом: .2.3 (стр. 1306). 
Обе константы (3,14 и 4,1) хранятся в памяти в формате IEEE 754. 


Инструкции VLDR и VMOV, как можно догадаться, это аналоги обычных LDR и 
MOV, но они работают с О-регистрами. 


Важно отметить, что эти инструкции, как и О-регистры, предназначены не 
только для работы с числами с плавающей точкой, но пригодны также и для 
работы с SIMD (NEON), и позже это также будет видно. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


293 
Аргументы передаются в функцию обычным путем через В-регистры, однако 
каждое число, имеющее двойную точность, занимает 64 бита, так что для пе- 
редачи каждого нужны два В-регистра. 


\/МО\ 017, ВО, R1 в самом начале составляет два 32-битных значения из RO и 
R1 в одно 64-битное и сохраняет в 017. 


VMOV RO, R1, 016 в конце это обратная процедура: то что было в 016 остается 
в двух регистрах RO и R1, потому что число с двойной точностью, занимающее 
64 бита, возвращается в паре регистров RO и В1. 


VDIV, УМУЕ и VADD, это инструкции для работы с числами с плавающей точкой, 
вычисляющие, соответственно, частное, произведение и сумму. 


Код для Thumb-2 такой же. 


АКМ: Оптимизирующий Keil 6/2013 (Режим Thumb) 


f 
PUSH {R3-R7 , LR} 
MOVS R7, R2 


LDR R2, =0x66666666 ; 4.1 
LDR R3, =0x40106666 

MOVS RO, R7 

MOVS R1, R4 

BL _ aeabi dmul 

MOVS R7, АО 

MOVS R4, R1 

LDR R2, =0x51EB851F ; 3.14 
LDR R3, =0x40091EB8 

MOVS RO, R5 

MOVS R1, R6 

BL _ aeabi ddiv 

MOVS R2, R7 

MOVS R3, R4 


BL _ аеаб1 дааа 

РОР {В3-В7,РС} 
; 4.1 в формате ІЕЕЕ 754: 
дмога 364 DCD 0х66666666 ; РАТА XREF: f+A 
дмога 368 DCD 0х40106666 ; DATA XREF: #+С 
; 3.14 в формате ІЕЕЕ 754: 
dword_36C DCD 0x51EB851F ; DATA XREF: f+1A 
dword_370 DCD 0x40091EB8 ; DATA XREF: f+1C 


Keil компилировал для процессора, в котором может и не быть поддержки FPU 
или МЕОМ. Так что числа с двойной точностью передаются в парах обычных 
В-регистров, а вместо ЕРУ-инструкций вызываются сервисные библиотечные 
функции 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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аеарі Чти1, aeabi даіу, аеарі дада, эмулирующие умножение, деление 
и сложение чисел с плавающей точкой. 


Конечно, это медленнее чем ҒРО-сопроцессор, но это лучше, чем ничего. 


Кстати, похожие библиотеки для эмуляции сопроцессорных инструкций были 
очень распространены в х86 когда сопроцессор был редким и дорогим и при- 
сутствовал далеко не во всех компьютерах. 


Эмуляция ЕРУ-сопроцессора в ARM называется soft float или armel (emulation), 
а использование ЕРУ-инструкций сопроцессора — hard float или armhf. 
АКМ64: Оптимизирующий ССС (Linaro) 4.9 

Очень компактный код: 


Листинг 1.210: Оптимизирующий ССС (Linaro) 4.9 


f: 
; 00 = а, Dl=b 

ldr d2, .LC25 3.14 
; 02 = 3.14 


Раім 90, 90, d2 
; 00 = 00/02 = а/3.14 
1аг d2, .1С26 ; 4.1 
; 02 = 4.1 
fmadd 40, 91, d2, ао 
01*02+00 = 6*4.1+а/3.14 
геї 


J 
© 
II 


; константы в формате IEEE 754: 

.1С25: 
.мо га 1374389535 ; 3.14 
.мо га 1074339512 

.1С26: 
.мога 1717986918 ‚ 4.1 
.мо га 1074816614 


АКМ64: Неоптимизирующий ССС (Linaro) 4.9 


Листинг 1.211: Неоптимизирующий ССС (Linaro) 4.9 


т: 
sub sp, sp, #16 
str d0, [sp,8] ; сохранить "a" B Register Save Area 
str d1, [sp] ; сохранить "b" B Register Save Area 
ldr х1, [sp,8] 

; ХР = а 
1аг х0, .LC25 

; ХӨ = 3.14 


fmov 90, x1 
fmov d1, x0 

; 00 = a, 01 = 3.14 
fdiv 90, 90, d1 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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; Х1 = а/3.14 

1аг х2, [5р] 
х2 = Б 

1аг x0, .LC26 
; ХО = 4.1 

fmov 90, x2 
; 00 sp 

fmov d1, x0 
= 4.1 


fmul 90, 40, 41 
; 00 = 00*01 = b*4.1 


fadd 90, 40, 41 
; 00 = 00+01 = а/3.14 + b*4.1 


fmov х0, dO ; \ избыточный код 
fmov d0, х0; / 
add sp, sp, 16 
ret 

.LC25: 
.word 1374389535 ; 3.14 
.мога 1074339512 

.1С26: 


мога 1717986918 ; 4.1 
. мо га 1974816614 


Неоптимизирующий ССС более многословный. Здесь много ненужных пере- 
тасовок значений, включая явно избыточный код (последние две инструкции 
GMOV). Должно быть, ССС 4.9 пока ещё не очень хорош для генерации кода под 
ARM64. Интересно заметить что у ААМ64 64-битные регистры и О-регистры так 
же 64-битные. Так что компилятор может сохранять значения типа double B 
GPR вместо локального стека. Это было невозможно на 32-битных CPU. И CHO- 
ва, как упражнение, вы можете попробовать соптимизировать эту функцию 
вручную, без добавления новых инструкций вроде FMADD. 


1.25.6. Передача чисел с плавающей запятой в аргументах 


#include <math.h> 
#include <stdio.h> 


int main () 


{ 
printf ("32.01 ^ 1.54 = %lf\n", pow (32.01,1.54)); 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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return 0; 


х86 
Посмотрим, что у нас вышло (MSVC 2010): 


Листинг 1.212: М$\УС 2010 


CONST SEGMENT 


_ real@40400147ae147ae1 DQ 040400147ае147ае1г #3201 
_ real@3ff8a3d70a3d70a4 DQ 03ff8a3d70a3d70a4r ; 1.54 
CONST ENDS 
_main PROC 

push ebp 

mov ebp, esp 

sub esp, 8 ; выделить место для первой переменной 


fld QWORD РТА  real@3ff8a3d70a3d70a4 

fstp QWORD PTR [esp] 

sub esp, 8 ; выделить место для второй переменной 
fld QWORD РТК  real@40400147ae147ae1 

fstp QWORD PTR [esp] 

call ром 

add esp, 8 ; вернуть место OT одной переменной. 


; в локальном стеке сейчас все еще зарезервировано 8 байт для нас. 
; результат сейчас в 5Т(0) 


; перегрузить результат из 57(0) в локальный стек для printf(): 
fstp QWORD PTR [esp] 
push OFFSET $562651 
call printf 
add esp, 12 


xor eax, eax 
pop ebp 
ret 0 

_та1п ЕМОР 


FLD и Е5ТР перемещают переменные из сегмента данных в FPU-cTek или обрат- 
но. ром()111 достает оба значения из стека и возвращает результат в $Т(0). 
ри1п{Т() берет 8 байт из стека и трактует их как переменную типа double. 


Кстати, с тем же успехом можно было бы перекладывать эти два числа из 
памяти в стек при помощи пары MOV: 


ведь в памяти числа в формате IEEE 754, ром() также принимает их в том же 
формате, и никакая конверсия не требуется. 


Собственно, так и происходит в следующем примере с АВМ: 1.25.6 (стр. 297). 


111стандартная функция Си, возводящая число в степень 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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ARM + Неоптимизирующий Xcode 4.6.3 (ШММ) (Режим Thumb-2) 


_та1п 
var C = —0xC 
PUSH {R7, LR} 
MOV R7, SP 
SUB SP, SP, #4 
VLDR D16, =32.01 
VMOV RO, R1, D16 
VLDR D16, =1.54 
VMOV R2, R3, D16 
BLX _pow 
VMOV D16, RO, R1 
MOV RO, OxFC1 ; "32.01 ^ 1.54 = %lf\n" 
ADD RO, PC 
VMOV R1, R2, D16 
BLX _printf 
MOVS R1, 0 
STR RO, [SP,#0xC+var C] 
MOV RO, R1 
ADD SP, SP, #4 
POP {R7, PC} 
dbl_2F90 DCFD 32.01 ; DATA XREF: _main+6 
dbl_2F98 DCFD 1.54 ; DATA XREF: _та1п+Е 


Как уже было указано, 64-битные числа с плавающей точкой передаются B 
парах В-регистров. 


Этот код слегка избыточен (наверное, потому что не включена оптимизация), 
ведь можно было бы загружать значения напрямую в В-регистры минуя загруз- 
ку в О-регистры. 


Итак, видно, что функция ром получает первый аргумент в RO и R1, а второй 
в А2 и ВЗ. Функция оставляет результат в RO и R1. Результат работы ром ne- 
рекладывается в 016, затем в пару R1 и R2, откуда ргіпі# () берет это число- 
результат. 


ARM + Неоптимизирующий Кей! 6/2013 (Режим АКМ) 


_та1п 


SP!, {R4-R6,LR} 


R2, 


=0xA3D70A4 ; y 
=0x3FF8A3D7 
=0ХАЕ147АЕ1 ; х 
=0х40400147 


а32 011 БАІ? ; "32.01 ^ 1.54 = %lf\n" 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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ВЕ _ 2printf 

MOV RO, #0 

LDMFD SP!, {R4-R6,PC} 
y DCD 0xA3D70A4 ; DATA XREF: _main+4 
dword_520 DCD 0x3FF8A3D7 ; DATA XREF: _main+8 
x DCD ӨхАЕ147АЕ1 ; DATA XREF: _main+C 
dword_528 DCD 0x40400147 ; DATA XREF: _main+10 


a32_011_54Lf DCB "32.01 ^ 1.54 = %lf",0xA,0 
; DATA XREF: _main+24 


Здесь не используются О-регистры, используются только пары В-регистров. 


АКМ64 + Оптимизирующий ССС (Linaro) 4.9 


Листинг 1.213: Оптимизирующий ССС (Linaro) 4.9 


т: 
stp x29, x30, [sp, -16]! 
add x29, sp, Ө 
ldr 91, .LC1 ; загрузить 1.54 B D1 
ldr 90, .LCO ; загрузить 32.01 в рө 
bl pow 


; результат pow() в DO 
аагр х0, .LC2 


ааа х0, x0, :1012:.1С2 
bl printf 

mov w0, 0 

1ар x29, x30, [sp], 16 
ret 


.LCO: 
; 32.01 в формате IEEE 754 
.мо га —1374389535 
.мо га 1077936455 
„ЕСТ: 
; 1.54 в формате ТЕЕЕ 754 
.мога 171798692 
.мо га 1073259479 
.LC2: 
„string "32.01 ^ 1.54 = %lf\n" 


Константы загружаются B DO и 01: функция pow() берет их оттуда. Результат 
в DO после исполнения pow(). Он пропускается врг1пї1() без всякой модифи- 
кации и перемещений, потому что ргіпі#() берет аргументы интегральных 
типов и указатели из Х-регистров, а аргументы типа плавающей точки из D- 
регистров. 


1.25.7. Пример со сравнением 


Попробуем теперь вот это: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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#include <stdio.h> 


double d_max (double a, double b) 


{ 
if (a>b) 
return a; 
return b; 
$}; 
int main() 
{ 
printf ("%f\n", d_max (1.2, 3.4)); 
printf ("%f\n", а мах (5.6, -4)); 
}; 


Несмотря на кажущуюся простоту этой функции, понять, как она работает, 
будет чуть сложнее. 


х86 
Неоптимизирующий MSVC 


Вот что выдал MSVC 2010: 


Листинг 1.214: Неоптимизирующий М5\С 2010 


PUBLIC _d_max 
_TEXT SEGMENT 
_а$ = 8 ; size = 8 
_6$ = 16 ; size = 8 
_А_ тах PROC 

push ebp 

mov ebp, esp 

fld QWORD PTR b$[ebp] 
; состояние стека сейчас: ST(0) = b 


сравниваем b (в 5Т(0)) и а, затем выталкиваем значение из стека 


Тсотр ОМОВО РТВ _а$[еьр] 


; стек теперь пустой 


fnstsw ах 
test ah, 5 
jp SHORT $LN1@d_ тах 


мы здесь только если a>b 


fld QWORD PTR _a$[ebp] 
jmp SHORT $LN2@d_ max 
$LN1@d_max: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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fld МОРО РТВ b$[ebp] 


$1. №0а тах: 
рор ебр 
геї 0 

_Ч тах ЕМОР 


Итак, FLD загружает б в регистр ST(0). 


ҒСОМР сравнивает содержимое ST(0) с тем, что лежит в аи выставляет биты 
С3/С2/С0 в регистре статуса FPU. Это 16-битный регистр отражающий текущее 
состояние FPU. 


После этого инструкция ЕСОМР также выдергивает одно значение из стека. Это 
отличает её от ЕСОМ, которая просто сравнивает значения, оставляя стек в та- 
ком же состоянии. 


К сожалению, у процессоров до Intel P6 11? нет инструкций условного перехода, 
проверяющих биты С3/С2/С0. Возможно, так сложилось исторически (вспомни- 
те о том, что ЕРУ когда-то был вообще отдельным чипом). 

Ау Intel P6 появились инструкции ЕСОМТ/ЕСОМТР/РУСОМТ/РУСОМТР, делающие то 
же самое, только напрямую модифицирующие флаги 7Е/РЕ/СЕ. 


Так что FNSTSW копирует содержимое регистра статуса в АХ. Биты С3/С2/С0 3a- 
нимают позиции, соответственно, 14, 10, 8. В этих позициях они и остаются в 
регистре АХ, и все они расположены в старшей части регистра — АН. 


• Если Ь> ав нашем случае, то биты С3/С2/С0 должны быть выставлены так: 
0, 0, 0. 


• Если а> b, то биты будут выставлены: O, O, 1. 
• Если a =b, то биты будут выставлены так: 1, 0, 0. 


• Если результат не определен (в случае ошибки), то биты будут выставле- 
ны так: 1, 1, 1. 


Вот как биты С3/С2/С0 расположены в регистре АХ: 


14 10 9 8 


сз ССС 


Вот как биты С3/С2/С0 расположены в регистре АН: 


6 2 0 


Сэ C2C1C0 


После исполнения test ah, 5113 будут учтены только биты CO n C2 (Ha позици- 
ях О и 2), остальные просто проигнорированы. 


Теперь немного о parity Йад*""*. Ещё один замечательный рудимент эпохи. 


Этот флаг выставляется в 1 если количество единиц в последнем результате 
четно. И в О если нечетно. 


112 пе! P6 это Pentium Pro, Pentium II, и последующие модели 
1135=1016 
114 флаг четности 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Заглянем в ММкред!а!??: 


Опе соттоп reason to test {Пе parity Над actually has nothing 
to do with parity. The FPU has four condition flags (CO to C3), but 
they cannot be tested directly, and must instead be first copied to 
the flags register. When this happens, CO is placed in the carry flag, 
C2 in the parity flag and C3 in the zero flag. The C2 flag is set when 
e.g. incomparable floating point values (NaN or unsupported format) 
are compared with the FUCOM instructions. 


Как упоминается B Wikipedia, флаг четности иногда используется в РРО-коде и 
сейчас мы увидим как. 


Флаг РЕ будет выставлен в 1, если CO и C2 оба 1 или оба О. И тогда сработает 
последующий ЈР (jump И РЕ==1). Если мы вернемся чуть назад и посмотрим 
значения С3/С2/С0 для разных вариантов, то увидим, что условный переход ЈР 
сработает в двух случаях: если Б > а или если а = b (ведь бит СЗ перестал учи- 
тываться после исполнения test аһ, 5). 


Дальше всё просто. Если условный переход сработал, то FLD загрузит значе- 
ние бв ST(0), а если не сработал, то загрузится а и произойдет выход из 
функции. 


А как же проверка флага С2? 


Флаг C2 включается в случае ошибки (NaN, ит. д.), но наш код его не проверяет. 


Если программисту нужно знать, не произошла ли ЕРУ-ошибка, он должен по- 
заботиться об этом дополнительно, добавив соответствующие проверки. 


115https://en.wikipedia.org/wiki/Parity flag 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Первый пример с OllyDbg: а=1,2 и Ь=3,4 


Загружаем пример в OllyDbg: 


CPU - тат ead, module d 


PUSH ЕВР 

MOU EBP, ESP 

FLD GWORD PTR SS:CARG.3] SUCR100. _initeny 
ЕСОМР QUORD PTR 55: СААВ. 17 заа К 
FSTSW АХ 

ТЕ5Т_НН,й5 

JPE SHORT BOFC1015 

FLD QWORD PTR 55: САКЕ. 1] 
JMP SHORT 88ЕС1818 кая 
FLD QWORD PTR 55: САКЕ. 31 = 

› @@ҒС1006 dm 


ЕЕЕЕЕЕЕЕ) 
ØLFFFFFFFF) 
В(ЕЕЕЕЕЕЕЕ) 
@(ЕЕЕЕЕЕЕЕ) 
ТЕЕППӘ@@(ЕРЕ) 
ØLFFFFFFFF) 


DHONDTO 


100900 ERROR 


B 
FLD QWORD PTR DS:[ØFC20E0] 
FSTP_QWORD PTR $$:[LOCAL. 2] 
SUB ESP, 8 
FLO QWORD PTR DS:[ØFC2008] 
FSTP QWORD PTR S$S:[LOCAL. 4] 
CALL а 


++ ж ж ж э э э од 


41РЕСС ЩЕ Я 
НИЗА RETURN from d mas 


25 A A 
FF FF FF FF FF FF FF FF 
ЕЕ FF FF FF 81 ФЕН. 


Ө 
HE4 ВМ 


RETURN from а ман 


Рис. 1.67: OllyDbg: первая FLD исполнилась 


Текущие параметры функции: а = 1,2 и b = 3,4 (их видно в стеке: 2 пары 32- 
битных значений). b (3,4) уже загружено в ST(0). Сейчас будет исполняться 
ҒСОМР. OllyDbg показывает второй аргумент для ЕСОМР, который сейчас нахо- 
дится в стеке. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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ЕСОМР отработал: 


ОЧ EBP, ESP 
FLD QWORD PTR 55: [ARG.3] 
ЕСОМР QWORD РТВ SS:[ARG.1] 
FSTSW AX 


TEST _ AH, 85 

JPE SHORT 88ЕС1815 

FLD QWORD PTR $$S:[ARG.1] 
JMP SHORT 88ЕС1818 

FLD QWORD PTR $$S:[ARG.3] 
POP EBP FC1009 


FFFFFFFF) 
FFFFFFFF) 
FFFFFFFF) 

ALFFFFFFFF) 

t ГЕРООЯВИ(ЕЕЕ) 

IN ‚ В(ЕРЕРЕЕЕЕ) 

ПОО ЕВР Ер 298 ERROR_SUCCESS 

SUB ESP, 8 (NO, NB, МЕ, Я, NS, PE, GE, G) 

FLD QWORD PTR DS:[ØFC20E0] 

FSTP_QWORD PTR 55: [40СЯЁ.2] 

SUB ESP, 8S 

FLD QWORD PTR DS:[ØFC2008] 

FSTP QWORD PTR $$S:[LOCAL. 4] 

CALL 985С1988 

ADD ESP, 8 


оо 


ч) 


$ 


Doc 


D 


Рис. 1.68: OllyDbg: ЕСОМР исполнилась 


Мы видим состояния condition-pnaros FPU: все нули. Вытолкнутое значение 
отображается как 5Т(7). Почему это так, объяснялось ранее: 1.25.5 (стр. 290). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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FNSTSW сработал: 


АЕ P Ес 60190606] 
FL ОШОВП РТЕ 55: АВВ. 31 IFERAN 
ЕСОМР GWORD PTR 55: LARG. 11 | 
Е$Т5Ш АХ 
TEST 


AH, 95 
JPE SHORT 88ЕС1815 
FLD QWORD PTR $$S:[ARG.1] 
JMP SHORT 882ЕС1818 
FLD QWORD PTR 55: САКБ. 31 


© 


FFFFFFFF) 
FFFFFFFF) 
FFFFFFFF) 

: В(ЕЕЕЕЕЕЕЕ) 

t РЕРООВ8В(ЕЕЕ) 

; ØLFFFFFFFF) 


ох 6 


ІМ 

PUSH ЕВР 

МОМ ЕВР,ЕЅР 

SUB ЕЅР,8 

FLD QWORD PTR 05: [92С28ЕВ 1 

ЕЅТР ОШОКО PTR $$: СС_0СА.21 
SUB ЕЅР,8 

FLO QWORD РТВ 05: [92628081 

ЕЅТР ОШОКО РТВ 55: СС_0САЕ. 41 


Oo 


++ ж ж ж э э ө oat 


CALL @@ЕС1@@@ 
ADD ЕЗР,8 


25 

ЕЕ РЕ РЕ РЕ 

ЕЕ FF FF FF = б Е. 
3 


нф hN4 


Рис. 1.69: OllyDbg: FNSTSW исполнилась 


Видно, что регистр АХ содержит нули. Действительно, ведь все condition-pnarn 
тоже содержали нули. 


(OllyDbg дизассемблирует команду FNSTSW как FSTSW —это синоним). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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ТЕЅТ сработал: 


- main thread, module д тах 


PUSH ЕВР 

MOV ЕВР,ЕЅР 

FLO QWORD РТЕ 55: [ЯВб. 37 
ЕСОМР QWORD РТВ 55: САКБ. 11 
FSTSW_ AX 


TEST AH, 05 
JPE SHORT 88ЕС1015 
FLD QWORD PTR 55: АКВ. 17 
ШИР SHORT 88ЕС1818 
FLD ОВО PTR 55: АКВ. 31 
РОР ЕВР ЕІР 


: В(ЕЕЕЕЕЕЕЕ) 
FFFFFFFF) 
FODABALFFF) 

В(ЕЕЕЕЕЕЕЕ) 


чог 


IN 
PUSH ЕВР 

MOU EBP, ESP 

SUB ESP, 8 09080246 (NO 
FLO GWORD PTR DS: [CØFC20E0] TO empty 0.0 
FSTP_QWORD PTR 55: [LOCAL. 21 ат! 

SUB ЕЅР,8 

0085 рагағса! FLD ОШОВП PTR 08: [9ЕС20081 
ЕЗТР QWORD PTR 55: ОСА. 41 


оо 


++ ж э э о э ө 


001624 
ЕВ CØFFFFFF |CALL 88ЕС1888 
8364 08 ADD ЕЗР,8 


Jump is taken 
Оеѕт=а ман. BØFC1015 


FF FF FF РЕ а 
ЕЕ FF FF РЕ 81 96 4A б ФЕН. 
< 4 э НА В 


Рис. 1.70: OllyDbg: TEST исполнилась 


Флаг РҒ равен единице. Всё верно: количество выставленных бит в 0 — это 0, 
а 0 — это четное число. 


OllyDbg дизассемблирует ЈР как JPE}! — это синонимы. И она сейчас сработа- 
ет. 


116Jump Parity Even (инструкция x86) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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JPE сработала, FLD загрузила в 5Т(0) значение b (3,4): 


СРО - тат thread, module д тах 


РОЗН ЕВР 

ПО GWORG PTR 55: САВ. 31 
ЕСОМР ОШОКО PTR 55: САВ. 11 6 MSUCR100.—initenv 
FSTSW AX а 


ТЕЗТ АН, 85 a - 
JPE SHORT 88ЕС1015 e а-ы 
FLD ОШОВО PTR SS: TARG. 13 1 i 
ЧМР SHORT 8921818 

FLD GWORD PTR 33: [986.31 
РОР ЕВР 


it В(ЕЕЕЕЕЕЕЕ) 
В(ЕЕЕЕЕЕЕЕ) 

t В(ЕЕЕЕЕЕЕЕ) 
В(ЕЕЕЕЕЕЕЕ) 
it 7ТЕЕПОЙЙЙ(ЕРЕ) 
OLFFFFFFFF) 


О тс 


РИ5Н ЕВР 

МОМ ЕВР,ЕЅР 

SUB ЕЗР,8 

FLO QWORD PTR 05: [92С28Е 81 
ЕЅТР ОШОКО PTR $$: С_0САЯ. 21 
SUB ЕЅР,8 

FLD QWORD PTR 05: [92С28081 
FSTP QWORD РТВ SS:[LOCAL.4] 
CALL @@ЕС1@@@ 

ADD ESP, 8 


ПИТЕРЕ 


з2 1а 
айай 
NEAR, 53 
98ЕС1815 4 


Ф614 + 
($ ВМ 


ооо 


Pointer to nest 
SE han ч 


Рис. 1.71: OllyDbg: вторая FLD исполнилась 


Функция заканчивает свою работу. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


307 


Второй пример с OllyDbg: а=5,6 и b=-4 


Загружаем пример в OllyDbg: 


СРО - тат thread, module д тах 


PUSH ЕВР 

МОУ ЕВР,ЕЅР 

FLOD QWORD PTR 55: ГАК. 37 
ЕСОМР QWORD РТВ 55: [АВб. 11 
Е5Т5Ш ЯХ 


ТЕЅТ АН, 85 

JPE SHORT 88ЕС1815 

FLD QWORD PTR 55: САКБ. 11 
JMP SHORT ØØFC1018 

FLD QWORD PTR $$:[ARG.3] 


88880889 
Б М5УСЕ1@@.б6Е445617 


OE а 


2041ЕЕОС 
а D 


чан. 
< 


< 


й 
OØFC1006 


ES ØLFFFFFFFF) 
@(ЕЕЕЕЕЕЕЕ) 
@(ЕЕЕЕЕЕЕЕ) 
@(ЕЕЕЕЕЕЕЕ) 
ТЕЕПО@@Й@(ЕРЕ) 
ØLFFFFFFFF) 


эмм. * 
= oy 
›®@®ке T AnD 


оог) ттттттттт а0 
ооо 


РИ5Н ЕВР 

MOV ЕВР,ЕЅР 

SUB Е5Р,8 

FLD QWORD PTR DS:[ØFC20E0] 
FSTP_QWORD PTR $$S:[LOCAL.2] 
SUB ЕЅР,8 


FLD GWORD PTR 05: [922008] оку 
ЕБТР QWORD PTR 55: С_0САГ..41 т 


“ру 
CALL веғстева 5 еру 


“ру 


Рг М M 
Last сипа 0023: 00FC1003 а_м 


Рис. 1.72: OllyDbg: первая FLD исполнилась 


Текущие параметры функции: а = 5,6 и b = -4. 6 (-4) уже загружено B ST(0). 
Сейчас будет исполняться РСОМР. OllyDbg показывает второй аргумент ЕСОМР, 
который сейчас находится в стеке. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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ЕСОМР отработал: 


CPU - тат thread, module д тах 


РОЅН ЕВР 

МОМ EBP, ESP 

FLD QWORD PTR 55: [АВб. 31 
ЕСОМР QWORD PTR SS:[ARG.1] 
FSTSW AX 


20000009 
6Е44561? MSUCR100. 6E445617 
20658 
@ййй 
9041ЕЕОС 
941 ЕЕОС 
а 
ЙЕ н.0ЙЕСЗЗ88 
89ЕС1809 4_ман.09ЕС1099 
it @(ЕЕЕЕЕЕЕЕ) 
it В(ЕЕРЕЕЕЕЕ) 
t В(ЕЕЕРЕЕЕЕ) 
‚ ØLFFFFFFFF) 


ТЕЕОО8ЯВ(ЕЕЕ) 
@(ЕЕЕЕРЕРЕ) 


жене 


< 


TEST АН,85 

JPE SHORT 88ЕС1815 

FLD QWORD PTR 55: САКБ. 17 
JMP SHORT 88ЕС1818 

FLD QWORD PTR $$S:[ARG.3] 
POP EBP 


< 


m шишиши >. 


тт С 000 т) 0 со (л оу @) 10) 
eyv.» 


ODAONDTIO 


INTS 

PUSH ЕВР 

МОУ EBP, ESP 

SUB ESP, 8 

FLD QWORD PTR DS:[ØFC20E0] ТӘ empty 

FSTP_QWORD PTR $S:[LOCAL.27 : empty 

SUB ESP, 8 empty 

FLO QWORD PTR DS:[ØFC2008] empty 

ЕЅТР QWORD PTR SS:[LOCAL. 4] empty 

CALL 985С1988 empty 

ВЕС ADD ESP, 8 empty 

ST=0100 (СЗ: 9000000000 
5 


Е 
Ax=0009 


г 00000000 ERROR_SUCCESS 
(NO, МВ, МЕ, А, NS, РЕ, GE, G) 


5 


Мазк 
d мах. ВЕС 


Hi4 ВМ С@1ййййй 


89417233 


®® о ®Ф® 
рер) 


аййййййй 
ТЕЕПЕЙЙЙ 
12] A 


papa 
©: 


Рис. 1.73: OllyDbg: РСОМР исполнилась 


Мы видим значения сопаюоп-флагов FPU: все нули, кроме CO. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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FNSTSW сработал: 


00 EBP, ESP 
FLD ОШОО PTR_SS:[ARG.3] [ERK 90988188 
ЕСОМР QWORD PTR 55: САКАВ. 17 
ЕЅТЅШ AX 
ТЕЗТ 


AH, 05 
JPE SHORT 88ЕС1815 
FLD QWORD PTR 55: САКБ. 17 
JMP SHORT 88ЕС1818 
FLD QWORD PTR $$S:[ARG.3] 
POP EBP 


MSUCR100. 6Е445617 


Pem Св Е it В(ЕЕЕЕЕЕЕЕ) 

IN it @(ЕЕЕЕЕЕЕЕ) 

IN 2 й В(ЕЕЕЕЕЕЕЕ) 

IN д й ‚ В(ЕЕЕЕЕЕЕЕ) 

IN ] < t 7ЕЕ00888(ЕЕЕ) 
х Э(ЕЕЕЕЕЕЕЕ) 


ІМ 

PUSH ЕВР 

MOU ЕВР,Е5Р 

SUB ЕЗР,8 

FLD ОШОВП РТВ DS:[ØFC20E0] 
Е5ТР_ОШОВП РТВ 55: 1 0САЕ.21 
SUB ЕЅР,8 

FLD ОШОВП РТВ 05: [9628081 
FSTP ОШОЕП PTR 55: ОСА. 41 
CALL 992С1088 

ADD ЕЗР,8 8 


а.а 
Q -4.@@@@@@0@й 


5 


027 
Last смпа 


Hi4 АМ 
0G 00 


оого т 


Рис. 1.74: OllyDbg: FNSTSW исполнилась 


Видно, что регистр АХ содержит 0х100: флаг СӨ стал на место 8-го бита. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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ТЕЅТ сработал: 


CPU - тат thread, module д_тах 


5 


Jump is not 
0е=+=4_ман.й 


taken 
ØFC1015 


PUSH EBP 
MOU EBP, ESP 

FLD GWORD PTR_SS:[CARG.31 
ЕСОМР ОШОВО РТВ SS:CARG. 11 
TEST ВН 65 

JPE SHORT 


88ЕС1815 
FLD QWORD РТВ 55: САКБ. 17 
JMP SHORT 88ЕС1818 
FLD QWORD PTR $$S:[ARG.3] 
POP EBP 


INTS 

PUSH ЕВР 

MOU EBP, ESP 

SUB ESP, 8 

FLD QWORD PTR DS:[ØFC20E0] 

FSTP_QWORD PTR $$S:[LOCAL.2] 
SUB ESP, 8 

FLD QWORD PTR DS:[ØFC2008] 

FSTP QWORD PTR $$S:[LOCAL. 4] 
CALL BØFC1000 

ADD ESP, 8 


Bto ? 


НС ВМ 


00000100 
ЕЕ MSUCR100. 6Е 445617 


000000 
0041ҒЕОС 
9941ЕЕОС 

000! 1 

а а мая. 


ОЙҒСІЙВЕ Ч ман. 


32bit В(ЕЕЕЕЕЕЕЕ) 
32bit В(ЕЕЕЕЕЕЕЕ) 
@(ЕЕЕЕЕЕЕЕ) 
: В(ЕЕЕЕЕЕЕЕ) 
7EFODØBAL FFF) 
; ВСЕРРЕЕЕЕЕ) 


аѕтЕгг 00000000 ERROR_SUCCESS 
00000202 (М0, МВ, МЕ, Я, NS, РО, ВЕ, 5) 


empty 
empty 
empty 
empty 
empty Ø 
empty 
empty 
empty ~ 


ooovoo 


[= 
аййййййй 
Сӣ100000а 

41FF38 
C11FD RETURN from d_mas 
889880881 


В5, ЗЕ 
аййййййй 
522882 да 


000008 
00412208 


Рис. 1.75: OllyDbg: TEST исполнилась 


Флаг РЕ равен нулю. Всё верно: количество единичных бит в 0x100 — 1, а 1 — 
нечетное число. 


]РЕ сейчас не сработает. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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JPE не сработала, FLD загрузила в 5Т(0) значение а (5,6): 


СРО - тат thread, module д тах 


РОЗН EBP 
POD БОРО PTR SS: (АВВ. 32 Н 

: Е SUCR100. 66445617 
ЕСОМР ОШОВО РТВ 55: ААВ. 11 П80С8100.6Е34561: 
ЕТШ АХ 
TEST AH, 95 
JPE SHORT 88ЕС1815 
FLD ОШОВО PTR 55: АВВ. 11 > 
ШИР SHORT 89ЕС1018 dni | 
FLD ОШОВП PTR 55: [АВб.31 Рае L 

› ØØFC1013 d FC1013 


E£ ØLFFFFFFFF) 
ØLFFFFFFFF) 
@(ЕЕЕЕЕЕЕЕ) 
@(ЕЕЕЕЕЕЕЕ) 
ZTEFDDØOO( FFF) 
ØLFFFFFFFF) 


m 
= 


IN 

PUSH ЕВР 

MOV EBP, ESP 

SUB ESP, 8 

FLD QWORD PTR DS:[ØFC20E0] 
FSTP_QWORD PTR $$S:[LOCAL. 2] 
SUB ESP, 8 

FLD ОШОВО PTR DS:[ØFC2008] 
FSTP QWORD РТВ SS:[LOCAL.4] 
CALL OOFC100G 

ADD ESP, 8 


заем 


Cond В 
NEAR, 
OOFC10 


ШЕ сс он ot xA - = Е "М | RETURN from d mas 


ЕЕ FF FF FF ЕЁ Е 
ЕЕ FF FF ЕЕ 01 


($ hN 


RETURN from d mas 


Рис. 1.76: OllyDbg: вторая FLD исполнилась 


Функция заканчивает свою работу. 


Оптимизирующий М$\/С 2010 


Листинг 1.215: Оптимизирующий MSVC 2010 


_а$ = 8 ; size = 8 
_6$ = 16 ; size = 8 
_а тах PROC 
fld QWORD РТВ b$[esp-4] 
fld QWORD РТК _a$[esp-4] 


\! 
Ф 
п 
ч 
— 
jj 
— 

И 
© 


; состояние стека сейчас: ST(0) 


Ғсот 5Т(1) ; сравнить а и $Т(1) = (фр) 
fnstsw ах 

test ah, 65 ; 00000041H 

jne SHORT $LN5@d_ max 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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; копировать содержимое 5Т(0) в ST(1) и вытолкнуть значение из стека, 


; оставив а на вершине 
fstp ST(1) 


; состояние стека сейчас: ST(0) = a 


ret 0 
$1 №5@а тах: 
; копировать содержимое 5Т(0) в $5Т(0) и вытолкнуть значение из стека, 
; оставив b на вершине 


fstp ST(0) 
; состояние стека сейчас: ST(0) = b 
геї 0 


_Ч тах ЕМОР 


ЕСОМ отличается от ЕСОМР тем, что просто сравнивает значения и оставляет 
стек в том же состоянии. В отличие от предыдущего примера, операнды здесь 
в обратном порядке. Поэтому и результат сравнения в С3/С2/С0 будет отличать- 
ся: 


• Если а> Б, то биты С3/С2/С0 должны быть выставлены так: 0, 0, 0. 
• Если Б> а, то биты будут выставлены так: 0, 0, 1. 
• Если а = Б, то биты будут выставлены так: 1, 0, 0. 


Инструкция test аһ, 65 как бы оставляет только два бита — СЗ и СӨ. Они оба 
будут нулями, если а > b: в таком случае переход JNE не сработает. Далее nme- 
ется инструкция FSTP $Т(1) — эта инструкция копирует значение $Т(0) в yka- 
занный операнд и выдергивает одно значение из стека. В данном случае, она 
копирует 5Т(0) (где сейчас лежит а) в 57(1). После этого на вершине стека 
два раза лежит а. Затем одно значение выдергивается. После этого в $5Т(0) 
остается а и функция завершается. 


Условный переход JNE сработает в двух других случаях: если b> а или а = b. 
ST(0) скопируется в 5Т(0) (как бы холостая операция). Затем одно значение 
из стека вылетит и на вершине стека останется то, что до этого лежало в 5Т(1) 
(то есть Б). И функция завершится. Эта инструкция используется здесь BN- 
димо потому что в FPU нет другой инструкции, которая просто выдергивает 
значение из стека и выбрасывает его. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Первый пример с OllyDbg: а=1,2 и Ь=3,4 


Обе FLD отработали: 


CPU - тат thread, module 4 тах 10 хі 
A 


$ 004424 ØC FLD QWORD PTR 55: САКБ. 37 
. 004424 04 FLD QWORD PTR 55: ГАВб. 17 
0801 ЕСОМ 5Т(1) 


ASCII 


H, 4 


Al 1 
JNZ SHORT 89891814 
FSTP 5Т(1) 
RETN 
FSTP ST 
RETN =. 
ИШЕ 791998 
ты ` д t ØLFFFFFFFF) 
IN > FFFFFFFF) 
ÎN Я ЕЕЕЕЕЕЕЕ) 
IN FFFFFFFF) 

$ РООВӨВГ FFF) 


IN 7 
IN : @(ЕЕЕЕРЕРЕ) 


ІМ 
FLD QWORD PTR DS:[0A920E0] 
PUSH ESI 


83EC_10 SUB ESP, 18 

DDSC24 08 FSTP_QWORD PTR SS:[LOCAL. 2] 

0005 FLD QWORD PTR 05: С0Я920081 

001624 ЕЅТР QWORD РТВ 55: СОС. 41 

ЕЗ С4ЕЕЕЕЕЕ |CALL 88891088 

8835 _AAZOAJAI МОУ ESI, DWORD РТВ 05: С<%М50СК100. printf 
005624 88 FSTP_QWORD РТВ $$S:[LOCAL.2] 


$1(1)=3.3999999999999999118 
$1=1.1999999999999999568 


ИИИНИН 


о-оо 

> 
mon 
nm] 


AR, 53 M: 
23: 00A91004 d 


A A 
FF FF FF FF| FF FF FF 
ЕЕ FF FF ЕЕ 01 
91 йй 


nter to пене 5 


Рис. 1.77: OllyDbg: обе FLD исполнились 


Сейчас будет исполняться ЕСОМ: OllyDbg показывает содержимое 57 (0) и $Т(1) 
для удобства. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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ҒСОМ сработала: 


main thread, module д тах 


004424 ØC FLO QWORD PTR 55: [АВб. 37 
004424 04 FLOD QWORD PTR S$S:[ARG.1] 
0801 ЕСОМ $Т(1) 

ОРЕВ ЕЅТЅШ AX 


TEST АН, 41 
JNZ SHORT 00891014 
STP ST(1) 


it В(ЕЕЕЕЕЕЕЕ) 
it В(ЕЕЕЕЕЕЕЕ) 
it В(ЕЕЕЕЕЕЕЕ) 
it В(ЕЕЕЕЕЕЕЕ) 
it ТЕЕПОӘЙЙ(ЕРЕ) 
it @(ЕРЕЕРЕРЕ) 


СС INTS ы е 
0095 Ей2гӘҢЭй! FLO ОШОЕП РТВ 05: [89928Е81 бвагввва ERROR_SUCCESS 
56 PUSH ESI OAGAZOZ (МО, МВ, МЕ, Я, NS, PO, GE, G) 


ВЗЕС 18 SUB ESP, 19 valid 1.199 399999560 
005624 вв  |Е5ТР ОШОО PTR SS:[CLOCAL. 21 МЕЕ 9999899119 
008 pezansa FLO ОШОЕП PTR 05: 108920087 ов ВЯ 
001624 ЕЅТР QWORD PTR 55: CLOCAL. 41 спреи 

ЕВ САҒЕЕЕЕЕ |CALL 09891088 

MOU ЕБІ, DWORD РТВ DS: [<8MSYCR100. printf 


нет 


а] тео 


RETURN from а ман 


[2] 
00584Е68| НМХ | ЯЗСТТ "рми" 
005828481 HIX 


[11-1115 
осоо 


то next Зя 


Рис. 1.78: OllyDbg: ЕСОМ исполнилась 


СӨ установлен, остальные флаги сброшены. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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FNSTSW сработала, АХ=0х3100: 


1 064454 04 (РЕР ШОРО PTR 56:966211 т 

ае КЫ n SeS ий. асана ааыа 
TEST EDX 00008006 

TRE SHORT o0n91014 EBX 90000008 

ESTE STED 5 


< 


ЄЗ :.08493388 
99991817 Е ман. 0949198С 
00891818 ð ES 32bit ØLFFFFFFFF) 
it ØLFFFFFFFF) 
t В(ЕЕЕРЕЕЕЕ) 
‚ ØLFFFFFFFF) 
ТЕРООВЯВ(ЕЕЕ) 
В(ЕРЕЕЕЕЕЕ) 


LastErr 00000000 ERROR_SUCCES: 


"ме + 


®Ф®®&®Ф®Ф®Ф® 


СС IN - 
5 
DDOS Е@2ӘҢЭЙЇР1 [0 ОШОЕП PTR 05: (8992981 
56 PUSH ESI @а@йййй2@й2 смо, МВ, МЕ, Я, NS, РО, БЕ, G) 
ВЕС ав РЕТРОМОКО PTR 55: [LOCAL. 21 valid 
Н . а 999999: 9999 
0085 pezansa ЕГО ОШОЕП РТВ 05: 98920087 ао 29596 
001624 FSTP @ШОРО PTR 55: CLÓCAL. 4] НН 
ЕВ С4РЕЕЕЕЕ | САЦ. 98991098 Ta enptu 
835 MOU ESI, DWORD PTR DS:[<&MSUCR100. printf 514 empt 


005С24 88 |ҒЅТР ОШОВО PTR 55: ILOCAL. 21] ез енн 


empty 


5 


® ® ® ® © о 


. BAJ 
я 


33333333 
400635333 
айййййй1|@ 

00A911ED RETURN from а_мах 
айййййй1|@ 

00584Е68 x [ASCII "рМ" 
00582848 р 
В316С583 


899938 
ть 2 айййййй@й 
BOAJZOAG ай@йййййй 


@ЙНӘЗӘВЙ 9 
298939С9 29 98 55895000 
Я S : йа@ййййййй 

90212088 

6Е0794Е8 


88. РСЕ It [Роіптег to nest ЗИ 
9 К 


Рис. 1.79: OllyDbg: FNSTSW исполнилась 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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ТЕЅТ сработала: 


CPU - тат thread, module d_m 


Ня Вене тас: 
7919 Н . z ШП 

9051008 ЕСОМ STC1) Ее И Ета ОЕ, 
р FSTSW АХ У 00000808 

ИЕН 90000008 

сега 75 03 JNZ Т 99991914 ЯВ21ЕС68 

1911 FSTP $Т(1) В 1ЕСЕВ 

09891013 СЗ ВЕ ER 

29891814 б ESTP ST 388 Ч_ман.08993388 


з.9099188Е 


it В(РЕРЕЕЕЕЕ) 

it В(ЕЕРЕЕЕЕЕ) 
В(ЕРЕЕЕЕЕЕ) 
В(ЕЕЕЕЕЕЕЕ) 
ТЕЕПО@@@(ЕРЕ) 

00991901Е ‚ ВСЕРЕРЕЕЕЕ) 


90991812 СС ИШЕ) гг 9000008 55 
00991028|г= 0085 Ей2ӘНЭйЙ!Р1П QWORD РТВ О5:Г@НЭ2@ЕЙ1 LastErr 00000айй ERROR-SUCCESS 
56 PUSH ESI 08890282 (NO, NE, NE, A, NS, PO, GE, 6) 


88991826 

91 .1999999999999999560 
8899182Е .3999999999999999118 
80991834 
00891037 


83ЕС 18 SUB ESP, 19 valid 
DDSC24 @8 |Е5$ТР ОШОВО PTR SS:[LOCAL. 21 valid 
0085 FLD ОШОВП PTR 05: [94928087 Т2 empty 
001624 FSTP QWORD PTR $5: CLOCAL. 43 ТЗ emoty 
ЕВ СЧЕЕЕЕЕЕ |CALL 09991 + 


++ бл 


МО) ESI, ЕО РТВ 05: [<&М5УСВ198. printf Ке ыгы 


005624 88 — }Р$ТР_ОШОЕО РТВ 55:Г10СН1.21 {чын 


Jump is taken empty 
Dest=d_mas . 00A91014 в 
3100 
027 
Last cmnd 


опа @ 
rec 
2023: 


это ооо 


HOZI CE4 
0021ЕС68 
@@21ЕСЄС 

@й21ЕС7@ 48083333 
0021ҒС74 || 80008081 | Ө 
00A911ED 
@@21Е 90880001 
892127088 
89212084 
ИЕН 
@@21ЕС8С 
8921ЕС90 


Рис. 1.80: OllyDbg: TEST исполнилась 


2Е=0, переход сейчас произойдет. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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FSTP ST (или Р5ТР $Т(0)) сработала — 1,2 было вытолкнуто из стека, и на Bep- 
шине осталось 3,4: 


CPU - main thread, m nax [ [e] E 
A 


004424 0С FLOD QWORD РТВ 55: САКБ. 3] 
004424 04 FLD QWORD РТВ 55: СААС. 11 
1 ЕСОМ 5Т(1) 
FSTSW AX 
ТЕТ АН, 41 
JNZ SHORT 00891014 

$71) 


t ВС ЕЕРЕЕЕЕЕ) 

it В(ЕРЕЕЕЕЕЕ) 

t ВС ЕЕЕЕЕЕЕЕ) 
@(ЕЕЕЕЕЕЕРЕ) 
ТЕЕПП@@@(ЕРЕ) 

t @(ЕРЕЕРЕРЕ) 


сс ИШЕ; Я ОР SI 
Da5 Eazaasal FLD ОШОО PTR DS: 9992902 МӨӨ ERROR, 


56 PUSH 

83EC_10 SUB ESP, 10 

005624 08 FSTP_QWORD PTR SS:[LOCAL.2] 

0005 0820898 FLO QWORD PTR 05: [89928081 

001624 ЕЗТР QWORD РТВ SS:[LOCAL. 4] 

ES_C4FFFFFF |CALL 98991008 

86835 МОУ ESI, DWORD PTR 05: [<%М$УСРВ188.рг п 


нйгонэй! 
105С24 08 FSTP_QWORD РТВ 55:[1.О0СН1..21 


Тор of stack ТӨй21РСЄЙ1=а_тах. 80491085 


d 


RETURN from d mas 
ASCII ”pNx” 


Pointer to nest 


Рис. 1.81: OllyDbg: FSTP исполнилась 


Видно, что инструкция FSTP ST работает просто как выталкивание одного 3Ha- 
чения из РРО-стека. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Второй пример с OllyDbg: а=5,6 и Ь=-4 


Обе FLD отработали: 


- main геад, module д тах 


$ 004424 ØC FLD QWORD PTR 55: ГЯКБ. 37 
. 004424 04 FLOD QWORD РТВ 55: ГАБ. 17 
. 1 ЕСОМ 5Т(1) 

FSTSW_ ЯХ 


ТЕЗТ_ВН, 41 
JNZ SHORT 89191814 
ТР 5Т(1) 


0891008 


ЕРЕЕЕЕЕЕ) 
ЕЕЕЕЕЕЕЕ) 
; В(ЕЕЕЕЕЕЕЕ) 
В(ЕЕЕЕЕЕЕЕ) 

; ГЕҒООВӢЙ( ЕЕЕ) 
BLFFFFFFFF) 


ERROR. 


оон ны 


сс ІМ 

0005 Ей208901 FLO QWORD PTR 0$:[89928Е8 1 
56 PUSH Е51 

ЗЗЕС 18 SUB ESP, 10 

005С24 #8 ЕЅТР ОШОКО РТК SS:[LOCAL. 21 
DDOS 0820898! FLO ошобо PTR 05: [88928081 
ЕЅТР ОШОКО РТВ $$S:[LOCAL. 4] 


01С24 
ЕЗ С4ҒҒЕҒҒЕ |CALL 988891888 
МОМ ESI, DWORD РТВ 05: [<%М54СВ188. рг {пе 


++ ж ж э ж о м 


36835 НӘ2ӘНЭй! 

В 005С24 08 FSTP_QWORD РТВ 55: (-ОСЯЁ.21 
5Т(1)=-4.@@00ййййййййййййййй 

57=5.5999999999999996440 


566 OA 
ЕЕ РЕ ЕЕ РЕ 
ЕЕ ЕЕ ЕЕ РЕ 
RETURN from а ман 


ASCII "рМ" 


Рис. 1.82: OllyDbg: обе FLD исполнились 


Сейчас будет исполняться ЕСОМ. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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ЕСОМ сработала: 


CPU - тат thread, module d_max 


004424 ØC FLO QWORD PTR 55: АВВ. 37 
004424 04 FLOD QWORD PTR S$S:[ARG.1] 
0801 ЕСОМ $Т(1) 

ОРЕЯ ЕЅТЅШ АХ 


ы ТЕЗТ АН, 41 
9989188Е 5 @ УМ2 SHORT 88491814 
88991811 ЕЗТР 5Т(1) 
88991013 c3 RE 
00991914 С Е ST 


ВОН9191Е 
8 pana i 9 25 БОас Ей20НЭй! FLD ошовр РТВ 05: [ØA920E0] 
а г! : 
56 PUSH ЕЅІ 

ЗЗЕС 18 ЗИВ ESP, 18 

005624 #8 FSTP_QWORD РТВ SS:[LOCAL. 27 
0085 FLOD QWORD РТВ 05: [88928081 
001624 ЕЅТР QWORD Аш S$: [LOCAL. 4] 
ЕЗ САРРРРЕБ CALL 0919189! 


ЕЛ 


005624 08 FSTP WORD PTR $$:[LOCAL.2] 


MOV ESI, DRD PTR DS: [<&MSUCR100. printf 


FST=3000 0538 С2=8 C10 68=8 620 ЅҒ=й РЕ=В ЦЕ=В ОЕ=В ZE=0 DE=0 IE=0) 


Ax=0009 


fo zo 
98 ;977-– 


HIX hNX 


eE] 
6Е445617 MSUCR100. 6Е445617 
ВОВЕОЕ?З 
раргейаа 


М5УСВ1 98. printf 
3 d мах. йя 38 


. 9819198 


t В(ЕЕЕЕЕЕЕЕ) 

it В(ЕЕЕЕЕЕЕЕ) 

it В(ЕЕЕЕЕЕЕЕ) 

it В(ЕЕЕЕЕЕЕЕ) 
ТЕРООВВВ(ЕЕЕ) 

‚ ВС ЕРЕЕЕЕЕЕ) 


LastErr 00000000 ERROR_SUCCESS 
00000246 íNO,NB,E,BE,NS,PE, БЕ, LE) 


valid 5.5999999999999996440 
valid 4 80000800800000880898 
empty 
empty 
empty 


а ĝl 3 
@@НЭ11ЕР 
800809001 
00584Е68 


Рис. 1.83: OllyDbg: ЕСОМ исполнилась 


Все сопаїіїіоп-флаги сброшены. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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FNSTSW сработала, АХ=0х3000: 


СРО - main thread, module а тах 


поэт р 004424 OC РСО ОШОО РТВ 53: [АРВ. 31 23151 ЕР 

00991004 ||- 004424 84 | ЕСО QWORD РТВ 55: СААВ: 11 EAS DODOSO 

00991098 0801 ЕСОМ 5Т(1) EREET MSUCR100. 6E445617 

й зз: EDX ӨӨйЕОЕ?Ә 
и ЕВУ ӨЙЙЙЙЙЙЙ 

М2 SHORT 89491914 ESP 0021FC60 

FSTP $Т(1} ЕВР 9921ЕСВ8 

ESI 6E445584 MSUCR1OO. printf 

EDI 99993388 Ч ман.00893388 


EIP 00Я9190С Ч_пман.8889188С 


з 32bit ØLFFFFFFFF) 
32bit В(ЕЕЕЕЕЕЕЕ) 
32bit В(ЕЕЕЕЕЕЕЕ) 
32bit В(ЕЕЕЕЕЕЕЕ) 
32bit РЕРООВВВ(ЕЕЕ) 
3261: ØLFFFFFFFF) 


LastErr ØØOOOGHO ERROR_SUCCESS 
00000246 (NO, NB,E,BE,NS,PE, БЕ, LE) 
В3ЕС 18 SUB ESP, 18 valli e 

006624 ев _ |Р5$ТР @ШОВО PTR SS:[LOCAL. 21] Чана БӨӨ аааз S a 
0085 08205981 FLD ОШОО PTR DS: 98920087 EE e | 
001624 FSTP ОШОВО PTR SS: ОСА. 41 g enpty-B: 

ЕВ C4FFFFFF |CALL 89891898 4 empty 
8835 БА2аНай! MOU ESI, DWORD PTR DS: [<&MSUCR100. printf ; емру 
005624 68 _ |Е5$ТР ОШОЕР PTR SS: LOCAL. 21 ЖИ 212 "рез 


остро 
оон он @ 


сс INTS 
0005 ЕЙ208Э90! FLO QWORD PTR DS:[ØA920E0] 
56 PUSH ЕЅІ 


8899182Е 
00991034 
8899183? 
98899193С 
90991042 


дт 


оосо 


"2 666i 
gi ЕЕ 
= © 9-Б |00512С5С)) 00000000 
i 0921ЕС79|| С@1ййййй 
Е ы 9921ЕС74|| Өйййййй1 
0921ЕС78| (889911ЕС| эи | RETURN from Ч_ман 
9921ЕС7С| 90008891 
9921ЕС86| ВВБЗ4ЕБЗ| ВМХ | ASCII "рмх” 
9021ЕС84| 88582848] Н( 
9921ЕС88| 88165583 
9021ЕС8С| Ө@йййййй 
9021ЕС96| йййййййй 
9021ЕС94| ТЕЕПЕЙЙЙ 
9021ЕС98| Ө@й@йййй 
9921ЕСЭС| ай 
0021ЕСЯб 
В921ЕСЯ4 
021ҒСЯ8| Øi Pointer то nest Эх 


Рис. 1.84: OllyDbg: FNSTSW исполнилась 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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ТЕЅТ сработала: 


CPU - тат Меса module д тах 


$ 004424 0C | Е.О ОШОКО PTR 55: CARG.3] isters (FPU) 
004424 94 |FLD QWORD PTR 55: [ЯВВ. 11 АХ 60003600. 
0801 ЕСОМ 5Т(1) X 6Е445617 MSUCR100. 6E445617 
FSTSW AX С ВОВЕ 
ТЕТ ВН, 41 х воевобое 
JNZ SHORT 99991914 SP 8921ЕС68 
FSTP 5Т(1) ВР 0921ЕС88 
RETN FECES 
ие SI 6445584 М5ОСВ1@Й.ргїпє# 
al 99993388 4 ман.09893388 


INTS OOA910ØF 4_ман.98491898Е 


98851018 ІМТ я р А 
а ЕЗ 0028 32bit @(ЕЕЕЕЕЕЕЕ) 
оврага Е 5 8053 32bit ØLFFFFFFFF) 

д ІЧ 55 8928 3261 В(ЕЕЕЕЕЕЕЕ) 
INTS 02B 326: ØLFFFFFFFF) 
INT 9853 32bit ZEFDDØBALFFF) 

9928 32bit В(ЕЕЕЕЕЕЕЕ) 


IN 
сс ІМ Еа ЕУ 
0005 Ей20д9й! ЕГО ОШКО PTR 05: (8992901 LastErt 98000000 ERROR_SUCCESS . 
56 РУЗН_ЕЗТ 00900246 (NO, м, Е, ВЕ, и Е) 


83ЕС 18 SUB ESP, 19 ali 39 5 
О НЕ ны 
001624 ЕЅТР QWORD PTR $5: CLOCAL. 41 872 епрху @ ё 

ЕВ С4ЕЕЕЕЕЕ |CALL 88991888 реу 

8835 MOU ESI, DWORD РТВ 05: [<&MSUCR100. printf m 


00524 88 }|Е$ТР ОШОВП PTR $5: ILOCAL. 2] А те стоки 


5 


Jump 12 not 


taken ` 2 
3218 5 
бесе=ф ман. 20851014 ‹ 3 Cond 0 0 0 й Err ад 


Prec NEAR, РЕЯ nask 


fo zo 


2 ай 
" а 97-Р 
0593030 е нох ВХ 60100008 
а Я 4 
А á : : : = - В 808911ЕО RETURN from d mas 

98893858 | й 90000081 | В ш 
00584Е68 x |А5СІІ "рМ" 
985 
B81 
98008908 
@айй@ййййй 
ТЕРОЕВ ЯВ 
89088888 
00000008 


20893118 йй 


Рис. 1.85: OllyDbg: TEST исполнилась 


2Е=1, переход сейчас не произойдет. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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ҒЅТР $Т(1) сработала: на вершине ЕРУ-стека осталось значение 5,6. 


CPU - тат thread, module d_max 


$ 004424 OC (Е.О ОШОО РТЕ 55: LARG. 3] 
- 004424 84 |FLD ОШОЕО РТВ 55: [986.11 
ECON PTLD 445617 MSUCR100. 6E445617 
TEST AH, 41 

JNZ SHORT 89891814 
ЕЗТР 5Т(1) 

RETN 1.ргіпт# 


|= . 

EIP 00991013 а ман. 90| 
b: ( 
( 


91013 


A 

FFFFFFFF) 

AL FFFFFFFF) 
ØLFFFFFFFF) 
ØLFFFFFFFF) 
TEFDDØOOL FFF) 
ØLFFFFFFFF) 


HONDO 


сс ІМ 

0085 EAZAAJAI FLD QWORD PTR DS:[ØA920E0] 

56 PUSH ЕЅІ 

ЭЗЕС 18 ЗИВ ESP, 18 

005624 @8 ЕЅТР ОШОКО PTR 55: (1ОСЯЕ.21 

0005 FLD QWORD PTR 05: [898928081 

001624 ЕЅТР ОШОКО PTR 55: СОСЕ. 41 

ЕЗ С4ЕРЕРЕЕ |CALL 89191888 

8835 ЯЙ20Я90і МОМ ESI, DWORD РТВ 05: [<%М54СВ188. printf 
005624 08 ЕЅТР ОШОКО PTR $$S:[LOCAL.27 


Тор of stack ГОР2ТЕСЕ 1-4 ман. 80481863 


++ ж э э oar 


25 A 
FF FF FF FF FF FF F 
ЕЕ FF FF ЕЕ 81 


RETURN from d_max 
ASCII ”pNx” 


Рис. 1.86: OllyDbg: FSTP исполнилась 


Видно, что инструкция FSTP ST(1) работает так: оставляет значение Ha Bep- 
шине стека, но обнуляет регистр 5Т(1). 


ССС 4.4.1 


Листинг 1.216: ССС 4.4.1 


а тах ргос пеаг 


b = qword ptr -10h 
a = qword ptr -8 
a_first_half = dword ptr 8 
a_second_half = dword ptr 0Сһ 
b first_half = dword ptr 10h 
Ь second half = dword ptr 14h 

push ebp 

mov ebp, esp 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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sub esp, 10h 


; переложим а n b в локальный стек: 


mov eax, [ebp+a_first_half] 
mov dword ptr [ebp+a], eax 
mov eax, [ebp+a_second_half] 
mov dword ptr [ebp+a+4], eax 
mov eax, [ebp+b_first_half] 
mov dword ptr [ebp+b], eax 
mov eax, [ebp+b_second_half] 
mov dword ptr [ebp+b+4], eax 


; загружаем a n b в стек FPU: 


fld [ebp+a] 
fld [ebp+b] 
; текущее состояние стека: 5Т(0) - b; ST(1) -a 
fxch 51(1) ; эта инструкция меняет ST(1) n 5Т7(0) местами 
; текущее состояние стека: $Т(0) - а; ST(1) - b 
Тисотрр ; сравнить а и Би выдернуть из стека два значения, т.е. аи Б 
fnstsw ах ; записать статус FPU в АХ 
sahf ; загрузить состояние флагов SF, ZF, AF, PF, и CF из АН 
setnbe al ; записать 1 в AL, если СЕ=0 и 7Е=0 
test al, al ; AL==0 ? 
jz short loc 8048453 ; да 
fld [ebp+a] 
jmp short locret_8048456 
loc 8048453: 
fld [ebp+b] 
1осгеї 8048456: 
leave 
retn 
d_max endp 


FUCOMPP — это почти то же что и ЕСОМ, только выкидывает из стека оба значе- 
ния после сравнения, а также несколько иначе реагирует на «не-числа». 


Немного о не-числах. 


FPU умеет работать со специальными переменными, которые числами не явля- 
ются и называются «не числа» или NaN. Это бесконечность, результат деления 
на ноль, и так далее. Нечисла бывают «тихие» и «сигнализирующие». С первы- 
ми можно продолжать работать и далее, а вот если вы попытаетесь совершить 
какую-то операцию с сигнализирующим нечислом, то сработает исключение. 


Так вот, ЕСОМ вызовет исключение если любой из операндов какое-либо нечис- 
ло. FUCOM же вызовет исключение только если один из операндов именно «сиг- 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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нализирующее нечисло». 


Далее мы видим ЅАНҒ (Store АН тю Flags) — это довольно редкая инструкция 
в коде, не использующим FPU. 8 бит из АН перекладываются в младшие 8 бит 


регистра статуса процессора в таком порядке: 
7 6 4 2 0 


52Р АЕ РЕ СЕ 


Вспомним, что FNSTSW перегружает интересующие нас биты С3/С2/С0 в АН, и 
соответственно они будут в позициях 6, 2, 0 в регистре АН: 
6 


2 1 0 


СЗ C2C1C0 


Иными словами, пара инструкций fnstsw ах / sahf перекладывает биты СЗ/С2/С@ 
в флаги 7Е, РЕ, СЕ. 


Теперь снова вспомним, какие значения бит С3/С2/С0 будут при каких резуль- 
татах сравнения: 


• Если а больше b в нашем случае, то биты С3/С2/С0 должны быть выставле- 
ны так: 0, 0, 0. 


• Если а меньше b, то биты будут выставлены так: 0, 0, 1. 
• Если a=b, то так: 1, 0, 0. 


Иными словами, после трех инструкций ЕОСОМРР/ҒМЅТЅМ/ЅАНҒ возможны такие 
состояния флагов: 


• Если а > b в нашем случае, то флаги будут выставлены так: 2Р=0, РР=0, 
СЕ=0. 


• Если а<Ь,‚ то флаги будут выставлены так: ZF=0, РЕ=0, СЕ=1. 
e Если a =b, то так: 7Е=1, РЕ=0, СР=0. 


Инструкция ЅЕТМ№ВЕ выставит в AL единицу или ноль в зависимости от флагов 
и условий. Это почти аналог ЭМВЕ, за тем лишь исключением, что $ЕТсс117 Bhl- 
ставляет 1 или О в АЕ, а Јсс делает переход или нет. 5ЕТМВЕ запишет 1 только 
если СЕ=0 и 2Р=0. Если это не так, то запишет О в AL. 


СЕ будет 0 и 2Е будет 0 одновременно только в одном случае: если а > 6. 


Тогда в AL будет записана 1, последующий условный переход JZ выполнен не 
будет и функция вернет а. В остальных случаях, функция вернет Б. 


Оптимизирующий ССС 4.4.1 


Листинг 1.217: Оптимизирующий ССС 4.4.1 


public а тах 
а птах ргос пеаг 


117сс это condition code 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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аго_0 = qword ріг 8 

arg_8 = qword ptr 10h 
push ebp 
mov ebp, esp 
fld [ebp+arg 0] ; a 
fld [ebp+arg 8] ; b 

; состояние стека сейчас: ST(0) = b, ST(1)= а 
fxch st(1) 

; состояние стека сейчас: ST(0) = а, ST(1)= b 
Ғисот 51(1) ; сравнить аи b 


fnstsw ах 
sahf 
ja short loc 8048448 


; записать $5Т(0) B 5Т(0) (холостая операция), 
; выкинуть значение лежащее на вершине стека, 
; оставить b на вершине стека 

fstp st 

jmp short loc 804844А 


loc 8048448: 


; записать а в ST(1), выкинуть значение лежащее на вершине стека, оставить 
а на вершине стека 


fstp st(1) 


loc 804844А: 
pop ebp 
retn 

d_max endp 


Почти всё что здесь есть, уже описано мною, кроме одного: использование JA 
после ЅАНЕ. Действительно, инструкции условных переходов «больше», «мень- 
ше» и «равно» для сравнения беззнаковых чисел (а это ЈА, JAE, JB, JBE, ЈЕ/Ј2, 
JNA, ЈМАЕ, JNB, JNBE, JNE/JNZ) проверяют только флаги СЕ и ZF. 


Вспомним, как биты С3/С2/С0 располагаются в регистре АН после исполнения 
FSTSW/FNSTSW: 


6 2 1 0 


СЗ С2с1С0 


Вспомним также, как располагаются биты из АН во флагах СРО после исполне- 
ния ЅАНЕ: 


7 6 4 2 0 


5ЕРН АЕ РЕ CF 


Биты СЗ и СӨ после сравнения перекладываются B флаги ZF и CF так, что ne- 
речисленные инструкции переходов могут работать. работает, если СЕ и 7Е 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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обнулены. 


Таким образом, перечисленные инструкции условного перехода можно исполь- 
зовать после инструкций FNSTSW/SAHF. 


Может быть, биты статуса FPU С3/С2/С0 преднамеренно были размещены таким 
образом, чтобы переноситься на базовые флаги процессора без перестановок? 


ССС 4.8.1 с оптимизацией -03 


В линейке процессоров P6 от Intel появились новые ЕРУ-инструкции`18. Это 
РОСОМТ (сравнить операнды и выставить флаги основного CPU) и ЕСМО\Усс (ра- 
ботает как СМО\сс, но на регистрах FPU). Очевидно, разработчики ССС решили 
отказаться от поддержки процессоров до линейки P6 (ранние Pentium, 80486, 
ит. д.). 


И кстати, FPU уже давно не отдельная часть процессора в линейке P6, так что 
флаги основного СРО можно модифицировать из FPU. 


Вот что имеем: 


Листинг 1.218: Оптимизирующий ССС 4.8.1 


fld QWORD PTR [esp+4] ; загрузить "a" 
fld QWORD PTR [esp+12] ; загрузить "b" 
; ST0=b, $Т1=а 

fxch st(1) 

; 5Т0=а, ST1=b 


; сравнить "a" n "b" 

fucomi st, st(1) 

; скопировать ST1 (там "b") B STO если a<=b 
; в противном случае, оставить "a" B STO 
Тстомбе st, 51(1) 

; выбросить значение из Т1 

fstp st(1) 

ret 


Не совсем понимаю, зачем здесь FXCH (поменять местами операнды). 


От нее легко избавиться поменяв местами инструкции FLD либо заменив ЕСМО\ВЕ 
(below ог equal — меньше или равно) на FCMOVA (above — больше). 


Должно быть, неаккуратность компилятора. 


Так что РУСОМТ сравнивает 5Т(0) (а) и $Т(1) (b) и затем устанавливает флаги 
основного CPU. ЕСМО\ВЕ проверяет флаги и копирует ST(1) (в тот момент там 
находится b) в 5Т(0) (там а) если 5'Т0(а) <= ST1(b). В противном случае (а > b), 
она оставляет а в $5Т(0). 


Последняя Е5ТР оставляет содержимое ST(0) на вершине стека, выбрасывая 
содержимое 5Т(1). 


Попробуем оттрассировать функцию в СОВ: 


118Начиная с Pentium Pro, РепЧит-1, и т. д. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Листинг 1.219: Оптимизирующий ССС 4.8.1 апа срв 


dennis@ubuntuvm:~/polygon$ gcc -03 а тах. с -o а тах -fno-inline 
dennis@ubuntuvm:~/polygon$ gdb а тах 
GNU gdb (GDB) 7.6.1-ибипфи 


Reading symbols from /home/dennis/polygon/d_max...(no debugging symbols и 
S found). ..done. 

(gdb) b d_max 

Breakpoint 1 at 0x80484a0 

(gdb) run 

Starting program: /home/dennis/polygon/d_max 


Breakpoint 1, 0x080484a0 in d_max () 

(gdb) ni 

0x080484a4 in d_max () 

(gdb) disas $eip 

Dump of assembler code for function d_max: 


0x080484a0 <+0>: fldl 0x4 (%е5р) 

=> 0x080484a4 <+4>: fldl O0xc(%esp) 
0x080484a8 <+8>: fxch %st(1) 
0x080484aa <+10>: fucomi %st(1),%st 
0x080484ac <+12>: fcmovbe %st(1),%st 
0x080484ae <+14>: fstp %51(1) 
0x080484b0 <+16>: ret 

End of assembler dump. 

(gdb) ni 


0x080484a8 in d_max () 
(gdb) info float 
R7: Valid 0x3f f f9999999999999800 +1.199999999999999956 
=>R6: Valid 0x4000d999999999999800 +3.399999999999999911 
R5: Empty 0х00000000000000000000 
R4: Empty 0х00000000000000000000 
АЗ: Empty 0х00000000000000000000 
R2: Empty 0х00000000000000000000 
R1: Empty 0х00000000000000000000 
RO: Empty 0х00000000000000000000 


Status Word: 0x3000 
TOP: 6 
Control Word: 0x037f IM DM ZM OM UM PM 


PC: Extended Precision (64-bits) 
RC: Round to nearest 


Tag Word: OxOfff 
Instruction Pointer: 0х73:0х080484а4 
Operand Pointer: 0x7b:0xbffff118 
Opcode: 0x0000 

(gdb) ni 

0x080484aa in d_max () 

(gdb) info float 


R7: Valid 0x4000d999999999999800 +3.399999999999999911 
=>R6: Valid 0x3fff9999999999999800 +1.199999999999999956 

R5: Empty 0х00000000000000000000 

R4: Empty 0x00000000000000000000 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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АЗ: Empty 0х00000000000000000000 
R2: Empty 0х00000000000000000000 
R1: Empty 0x00000000000000000000 
RO: Empty 0x00000000000000000000 


Status Word: 0x3000 
TOP: 6 
Control Word: 0x037f IM DM ZM OM UM PM 


PC: Extended Precision (64-bits) 
RC: Round to nearest 


Tag Word: ОхОТҒТҒ 
Instruction Pointer: 0х73:0х080484а8 
Operand Pointer: 0x7b:0xbffff118 
Opcode: 0x0000 


(gdb) disas $eip 
Dump of assembler code for function d_max: 


0x080484a0 <+0>: fldl 0x4 (%езр) 
0x080484a4 <+4>: fldl Oxc(%esp) 
0x080484a8 <+8>: fxch %st(1) 

=> 0x080484aa <+10>: fucomi %st(1),%st 
0x080484ac <+12>: fcmovbe %st(1),%st 
0x080484ae <+14>: fstp %51(1) 
0x080484b0 <+16>: ret 

End of assembler dump. 

(gdb) ni 


0x080484ac in d_max () 
(gdb) info registers 


eax 0x1 1 

ecx Oxbffff1c4 -1073745468 
edx 0x8048340 134513472 
ebx 0xb7fbf000 -1208225792 
esp Oxbffff10c Oxbffff10c 
ebp Oxbffff128 Oxbffff128 
esi 0x0 0 

еді 0x0 0 

е1р 0х80484ас 0х80484ас <а тах+12> 
eflags 0x203 [ CF IF ] 

cS 0x73 115 

SS 0x7b 123 

ds 0x7b 123 

es 0x7b 123 

fs 0x0 0 

95 0x33 51 

(gdb) ni 


0x080484ae in d_max () 
(gdb) info float 
R7 


: Valid 0x4000d999999999999800 +3.399999999999999911 
=>R6: Valid 0х40000999999999999800 +3.399999999999999911 


R5: Empty 0х00000000000000000000 
R4: Empty 0х00000000000000000000 
АЗ: Empty 0х00000000000000000000 
R2: Empty 0x00000000000000000000 
R1: Empty 0х00000000000000000000 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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RO: Empty 0х00000000000000000000 


Status Word: 0x3000 
TOP: 6 
Control Word: 0x037f IM DM ZM OM UM PM 


PC: Extended Precision (64-bits) 
RC: Round to nearest 


Tag Word: oOxOfff 
Instruction Pointer: 0x73:0x080484ac 
Орегапа Pointer: 0x7b:0xbffff118 
Opcode: 0x0000 


(gdb) disas $eip 
Dump of assembler code for function d_max: 


0x080484a0 <+0>: fldl 0x4(%esp) 
0x080484a4 <+4>: fldl 0хс(%е5р) 
0х080484а8 <+8>: fxch %st(1) 
0x080484aa <+10>: fucomi %st(1),%st 
0x080484ac <+12>: fcmovbe %st(1),%st 

=> 0x080484ae <+14>: fstp %51(1) 
0x080484b0 <+16>: ret 

End of assembler dump. 

(gdb) ni 


0x080484b0 in d_max () 
(gdb) info float 
=>R7: Valid 0x4000d999999999999800 +3.399999999999999911 
R6: Empty 0x4000d999999999999800 
R5: Empty 0x00000000000000000000 
R4: Empty 0x00000000000000000000 
АЗ: Empty 0х00000000000000000000 
R2: Empty 0х00000000000000000000 
R1: Empty 0х00000000000000000000 
RO: Empty 0x00000000000000000000 


Status Word: 0x3800 
TOP: 7 
Control Word: 0x037f IM DM ZM OM UM PM 


PC: Extended Precision (64-bits) 
RC: Round to nearest 


Tag Word: Ox3fff 
Instruction Pointer: 0x73:0x080484ae 
Operand Pointer: 0x7b:0xbffff118 
Opcode: 0x0000 

(gdb) quit 


A debugging session is active. 
Inferior 1 [process 30194] will be killed. 


Quit anyway? (y or n) y 
dennis@ubuntuvm:~/polygon$ 


Используя «ni», дадим первым двум инструкциям FLD исполниться. 


Посмотрим регистры FPU (строка 33). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Как уже было указано ранее, регистры FPU это скорее кольцевой буфер, Hexe- 
ли стек (1.25.5 (стр. 290)). И GDB показывает не регистры $Тх, а внутренние 
регистры FPU (Вх). Стрелка (на строке 35) указывает на текущую вершину сте- 
ка. 


Вы можете также увидеть содержимое регистра ТОР в «Status Мога» (строка 
36-37). Там сейчас 6, так что вершина стека сейчас указывает на внутренний 
регистр 6. 


Значения а и b меняются местами после исполнения ЕХСН (строка 54). 
РОСОМТ исполнилась (строка 83). Посмотрим флаги: СЕ выставлен (строка 95). 
ЕСМОУВЕ действительно скопировал значение b (см. строку 104). 


Е5ТР оставляет одно значение на вершине стека (строка 139). Значение ТОР 
теперь 7, так что вершина ЕРУ-стека указывает на внутренний регистр 7. 


АКМ 
Оптимизирующий Xcode 4.6.3 (ШУМ) (Режим АВМ) 


Листинг 1.220: Оптимизирующий Xcode 4.6.3 (ШММ) (Режим ARM) 


VMOV D16, R2, R3 ; b 

VMOV D17, RO, R1 ; а 

VCMPE. F64 D17, D16 

VMRS APSR_nzcv, FPSCR 

VMOVGT . F64 D16, D17 ; скопировать "a" B D16 
VMOV RO, R1, D16 

BX LR 


Очень простой случай. Входные величины помещаются в D17 и 016 n сравнива- 
ются при помощи инструкции \/СМРЕ. Как и в сопроцессорах x86, сопроцессор в 
ARM имеет свой собственный регистр статуса и флагов (ЕРЅСА!!?), потому что 
есть необходимость хранить специфичные для его работы флаги. 


И так же, как и вх86, в АВМ нет инструкций условного перехода, проверяющих 
биты в регистре статуса сопроцессора. Поэтому имеется инструкция VMRS, KO- 
пирующая 4 бита (М, Z, С, V) из статуса сопроцессора в биты общего статуса 
(регистр АР$В120). 


VMOVGT это аналог МО\УСТ, инструкция для О-регистров, срабатывающая, если 
при сравнении один операнд был больше чем второй (СТ — Greater Than). 


Если она сработает, в 016 запишется значение а, лежащее в тот момент в 017. 
В обратном случае в 016 остается значение b. 


Предпоследняя инструкция \/МО\/ готовит то, что было в 016, для возврата через 
пару регистров RO и R1. 


119(АВМ) Floating-Point Status апа Control Register 
120 (ARM) Application Program Status Register 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Оптимизирующий Xcode 4.6.3 (ШММ) (Режим Thumb-2) 


Листинг 1.221: Оптимизирующий Xcode 4.6.3 (ШММ) (Режим Thumb-2) 


VMOV D16, R2, R3 ; b 
VMOV D17, RO, R1 ; а 
VCMPE. F64 D17, D16 

VMRS APSR_nzcv, FPSCR 
IT GT 

VMOVGT . F64 D16, D17 

VMOV RO, R1, D16 

BX LR 


Почти то же самое, что и в предыдущем примере, за парой отличий. Как мы 
уже знаем, многие инструкции в режиме АВМ можно дополнять условием. Но 
в режиме Thumb такого нет. В 16-битных инструкций просто нет места для 
лишних 4 битов, при помощи которых можно было бы закодировать условие 
выполнения. 


Поэтому в Thumb-2 добавили возможность дополнять 
ТһитЫ-инструкции условиями. В листинге, сгенерированном при помощи IDA, 
мы видим инструкцию VMOVGT, такую же как и в предыдущем примере. 


В реальности там закодирована обычная инструкция VMOV, просто IDA добави- 
ла суффикс -СТ к ней, потому что перед этой инструкцией стоит ТТ СТ. 


Инструкция ІТ определяет так называемый if-then block. После этой инструк- 
ции можно указывать до четырех инструкций, к каждой из которых будет до- 
бавлен суффикс условия. 


В нашем примере ТТ СТ означает, что следующая за ней инструкция будет 
исполнена, если условие СТ (Greater Than) справедливо. 


Теперь более сложный пример. Кстати, из Angry Birds (для iOS): 


Листинг 1.222: Angry Birds Classic 


ITE NE 


VMOVNE R2, R3, D16 
VMOVEQ R2, R3, D17 


BLX _objc_msgSend ; без суффикса 


ITE означает if-then-else и кодирует суффиксы для двух следующих за ней nH- 
струкций. 


Первая из них исполнится, если условие, закодированное в ТТЕ (МЕ, not equal) 
будет в тот момент справедливо, а вторая — если это условие не сработает. 
(Обратное условие от МЕ это EQ (едиа!)). 


Инструкция следующая за второй VMOV (или УМОЕО) нормальная, без суффикса 
(ВЫХ). 


Ещё чуть сложнее, и снова этот фрагмент из Апогу Вігаѕ: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


332 


Листинг 1.223: Angry Birds Classic 


ІТТТТ EQ 


MOVEQ RO, R4 

ADDEQ SP, SP, #0x20 
POPEQ.W {R8 ,R10} 
POPEQ {R4-R7 , PC} 


BLX _ Sstack_chk_fail ; без суффикса 


Четыре символа «T» в инструкции означают, что четыре последующие инструк- 
ции будут исполнены если условие соблюдается. Поэтому IDA добавила ко 
всем четырем инструкциям суффикс -Ед. А если бы здесь было, например, 
ІТЕЕЕ EQ (if-then-else-else-else), тогда суффиксы для следующих четырех nH- 
струкций были бы расставлены так: 


-EQ 
-NE 
—МЕ 
—МЕ 


Ещё фрагмент из Апогу Вігаѕ: 
Листинг 1.224: Angry Birds Classic 


CMP.W RO, #0xFFFFFFFF 


ITTE LE 

SUBLE.W R10, RO, #1 

NEGLE RO, RO 

MOVGT R10, RO 

MOVS R6, #0 ; без суффикса 


CBZ RO, loc 1Е7Е32 ; без суффикса 


ITTE (if-then-then-else) означает, что первая и вторая инструкции исполнятся, 
если условие LE (Less ог Equal) справедливо, а третья — если справедливо об- 
ратное условие (GT — Greater Than). 


Компиляторы способны генерировать далеко не все варианты. 
Например, в вышеупомянутой игре Апогу Вігаѕ (версия с/аѕѕіс для 105) 


встречаются только такие варианты инструкции ТТ: ІТ, ТТЕ, ІТТ, ІТТЕ, ІТТТ, 
ІТТТТ. Как это узнать? В IDA можно сгенерировать листинг (что и было сдела- 
но), только в опциях был установлен показ 4 байтов для каждого опкода. 


Затем, зная что старшая часть 16-битного опкода (ТТ это 9хВЕ), сделаем при 
помощи дгер это: 


cat АпдгуВігаѕС\1аѕѕіс.151 | grep " ВЕ" | grep "ТТ" > results.lst 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Кстати, если писать на ассемблере для режима Thumb-2 вручную, и дополнять 
инструкции суффиксами условия, то ассемблер автоматически будет добав- 
лять инструкцию ТТ с соответствующими флагами там, где надо. 


Неоптимизирующий Xcode 4.6.3 (ШММ) (Режим АКМ) 


Листинг 1.225: Неоптимизирующий Xcode 4.6.3 (ШММ) (Режим ARM) 


b 

a 
val_to_return 
saved_R7 


loc_2E08 


loc_2E10 


-0x20 


ҮСМРЕ. F64 


VMRS 
BLE 


VLDR 
VMOV 
MOV 
LDR 
BX 


R7, [SP,#saved_R7]! 

R7, SP 

SP, SP, #0x1C 

SP, SP, #7 

D16, R2, R3 

D17, RO, R1 

D17, [SP,#0x20+a] 

016, [SP,#0x20+b] 

016, [SP,#0x20+a] 

D17, [SP,#0x20+b] 

D16, D17 

APSR_nzcv, FPSCR 

loc_2E08 

016, [SP,#0x20+a] 

016, [SP,#0x20+val_to_ return] 
loc_2E10 

016, [SP,#0x20+b] 

016, [SP,#0x20+val_to return] 
016, [SP,#0x20+val_to return] 
RO, R1, D16 

SP, R7 

R7, [SP+0x20+b] ,#4 

LR 


Почти то же самое, что мы уже видели, но много избыточного кода из-за хра- 
нения а и b, а также выходного значения, в локальном стеке. 


Оптимизирующий Кей! 6/2013 (Режим Thumb) 


Листинг 1.226: Оптимизирующий Keil 6/2013 (Режим Thumb) 


PUSH 
MOVS 
MOVS 


{R3-R7 , LR} 


R4, R2 
R5, R3 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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MOVS R6, RO 

MOVS R7, R1 

BL __аеаһі сагстр1е 
BCS loc_1C0 


loc_1C0 
MOVS RO, R4 
MOVS R1, R5 
POP {R3-R7, PC} 


Keil не генерирует ЕРУ-инструкции, потому что не рассчитывает на TO, что они 
будет поддерживаться, а простым сравнением побитово здесь не обойтись. 


Для сравнения вызывается библиотечная функция _ aeabi_cdrcmple. 

М.В. Результат сравнения эта функция оставляет в флагах, чтобы следующая 
за вызовом инструкция BCS (Сагу set — Greater than ог equal) могла работать 
без дополнительного кода. 


АКМ64 
Оптимизирующий ССС (Linaro) 4.9 


а пах: 
; 00 - а, 01 - b 

Тстре 0, 41 

fcsel 40, 90, 41, gt 
; теперь результат в 00 

геї 


В АКМ64 ISA теперь есть ЕРУ-инструкции, устанавливающие флаги СРО APSR 
вместо FPSCR для удобства. РРО больше не отдельное устройство (по крайней 
мере логически). Это ЕСМРЕ. Она сравнивает два значения, переданных в DO и 
01 (а это первый и второй аргументы функции) и выставляет флаги в APSR (М, 
2, С, №). 


FCSEL (Floating Conditional Select) копирует значение рө или D1 в DO в зависи- 
мости от условия (GT — Greater Than — больше чем), и снова, она использует 
флаги в регистре APSR вместо FPSCR. Это куда удобнее, если сравнивать с тем 
набором инструкций, что был в процессорах раньше. 


Если условие верно (СТ), тогда значение из 00 копируется в 00 (т.е. ничего не 
происходит). Если условие не верно, то значение 01 копируется в DO. 


Неоптимизирующий ССС (Linaro) 4.9 


а пах: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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; сохранить входные аргументы в "Register Save Area" 


sub sp, sp, #16 
str d0, [sp,8] 
str d1, [sp] 


; перезагрузить значения 
ldr x1, [sp,8] 
ldr x0, [sp] 
fmov 90, x1 
fmov 01, хө 

; 00 - a, D1 - b 
fcmpe 90, d1 
ble ‚176 

; a>b; загрузить рө (а) в XO 
ldr x0, [sp,8] 

b ‚174 

‚176: 

; а<=Б; загрузить 01 (b) в ХӨ 
1аг х0, [5р] 

.174: 

; результат в ХӨ 
fmov 00, хө 

; результат в рө 
ааа sp, sp, 16 
ret 


Неоптимизирующий ССС более многословен. B начале функция сохраняет 3Ha- 
чения входных аргументов в локальном стеке (Register Save Area). Затем код 
перезагружает значения в регистры X0/X1 и наконец копирует их в 00/01 для 
сравнения инструкцией ЕСМРЕ. Много избыточного кода, но так работают неопти- 
мизирующие компиляторы. ЕСМРЕ сравнивает значения и устанавливает флаги 
в APSR. В этот момент компилятор ещё не думает о более удобной инструк- 
ции FCSEL, так что он работает старым методом: использует инструкцию BLE 
(Branch if Less than or Equal (переход если меньше или равно)). В одном случае 
(а > Б) значение а перезагружается в X0. В другом случае (а <= Б) значение b 
загружается в X0. Наконец, значение из X0 копируется в DO, потому что возвра- 
щаемое значение оставляется в этом регистре. 


Упражнение 


Для упражнения вы можете попробовать оптимизировать этот фрагмент ко- 
да вручную, удалив избыточные инструкции, но не добавляя новых (включая 
FCSEL). 


Оптимизирующий GCC (Linaro) 4.9: float 


Перепишем пример. Теперь здесь float вместо double. 


float Т тах (float а, float b) 


{ 
if (a>b) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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return а; 


return b; 


}; 


Т тах: 
; 50 - а, S1 - b 

Ғстре 50, 51 

fcsel 50, 50, 51, gt 
; теперь результат в 50 

геї 


Всё то же самое, только используются 5-регистры вместо D-. Так что числа Tn- 
па float передаются в 32-битных 5-регистрах (а это младшие части 64-битных 
О-регистров). 


MIPS 


В сопроцессоре MIPS есть бит результата, который устанавливается B FPU и 
проверяется в CPU. 


Ранние MIPS имели только один бит (с названием ЕССО), а у поздних их 8 (с 
названием ЕСС7-ЕССО). Этот бит (или биты) находятся в регистре с названием 
FCCR. 


Листинг 1.227: Оптимизирующий ССС 4.4.5 (IDA) 


а тах: 
; установить бит условия FPU в 1, если $f14<$f12 (b<a): 
c.lt.d $114, $112 
ог фаї, $zero ; МОР 
; перейти на 1осгеї 14 если бит условия выставлен 
рс1ї 1осгеї 14 
; эта инструкция всегда исполняется (установить значение для возврата в "а"): 
mov.d $f0, $f12 ; branch delay slot 
; эта инструкция исполняется только если переход не произошел 
; (т.е., если Б>=а) 
; установить значение для возврата в "b": 
mov.d $109, $f14 


locret_14: 
jr $ra 
or $at, $zero ; branch delay slot, NOP 


C.LT.D сравнивает два значения. LT это условие «Less Than» (меньше чем). D 
означает переменные типа double. 


В зависимости от результата сравнения, бит ЕССО устанавливается или очища- 
ется. 


ВС1Т проверяет бит ЕССО и делает переход, если бит выставлен. Т означает, 
что переход произойдет если бит выставлен («Тгие»). Имеется также инструк- 
ция ВС1Е которая сработает, если бит сброшен («False»). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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В зависимости от перехода один из аргументов функции помещается в регистр 
$РО. 


1.25.8. Некоторые константы 


В Wikipedia легко найти представление некоторых констант в IEEE 754. Jlo- 
бопытно узнать, что 0.0 в ІЕЕЕ 754 представляется как 32 нулевых бита (для 
одинарной точности) или 64 нулевых бита (для двойной). Так что, для записи 
числа 0.0 в переменную в памяти или регистр, можно пользоваться инструк- 
цией MOV, или XOR гед, гед. Это тем может быть удобно, что если в структуре 
есть много переменных разных типов, то обычной ф-ций memset() можно уста- 
новить все целочисленные переменные в 0, все булевы переменные в ѓа/ѕе, все 
указатели в NULL, и все переменные с плавающей точкой (любой точности) в 
0.0. 


1.25.9. Копирование 


По инерции можно подумать, что для загрузки и сохранения (и, следовательно, 
копирования) чисел в формате IEEE 754 нужно использовать пару инструкций 
FLD/FST. Тем не менее, этого куда легче достичь используя обычную инструк- 
цию MOV, которая, конечно же, просто копирует значения побитово. 


1.25.10. Стек, калькуляторы и обратная польская запись 


Теперь понятно, почему некоторые старые программируемые калькуляторы 
используют обратную польскую запись. 


Например для сложения 12 и 34 нужно было набрать 12, потом 34, потом на- 
жать знак «плюс». 


Это потому что старые калькуляторы просто реализовали стековую машину и 
это было куда проще, чем обрабатывать сложные выражения со скобками. 


Подобный калькулятор все еще присутствует во многих Угих-дистрибутивах: 
ас. 


1.25.11. 80 бит? 


Внутреннее представление чисел с FPU — 80-битное. Странное число, потому 
как не является числом вида 2”. Имеется гипотеза, что причина, возможно, ис- 
торическая — стандартные ІВМ-овские перфокарты могли кодировать 12 строк 
по 80 бит. Раньше было также популярно текстовое разрешение 80. 25. 


В Wikipedia есть еще одно объяснение: һірѕ: / /еп.мікіредіа.ого/мікі/Ехіепаеа _ 
ргесіѕіоп. 


Если вы знаете более точную причину, просьба сообщить автору: мои адреса. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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1.25.12. х64 


О том, как происходит работа с числами с плавающей запятой в х86-64, читай- 
те здесь: 1.38 (стр. 551). 


1.25.13. Упражнения 


e Пр: //сһа11епдеѕ. ге/60 
e Пр: //сһа\11епдеѕ. ге/61 


1.26. Массивы 


Массив это просто набор переменных в памяти, обязательно лежащих рядом 
и обязательно одного типа1?1. уу 122 


1.26.1. Простой пример 


#include <stdio.h> 


int main() 

{ 
int a[20]; 
int i; 


for (i=0; i<20; i++) 
а[1]=1*2; 


for (1=0; 1<20; i++) 
printf ("a[%d]=%d\n", i, а[1]); 


return 0; 


}; 


х86 
MSVC 


Компилируем: 


Листинг 1.228: М$\УС 2008 


_ТЕХТ SEGMENT 


_1$ = -84 ; size = 4 
_а$ = -80 ; size = 80 
_та1п PROC 

push ebp 


121 AKA «гомогенный контейнер» 
122 AKA «homogener Container». 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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тоу ebp, esp 
sub esp, 84 ; 00000054H 
mov DWORD PTR _i$[ebp], © 
jmp SHORT $LN6@main 
$LN5@main: 
mov eax, DWORD PTR _i$[ebp] 
add eax, 1 
mov DWORD PTR _i$[ebp], eax 
$LN6@main: 
cmp DWORD PTR _i$[ebp], 20 ; 00000014H 
jge SHORT $LN4@main 
mov ecx, DWORD PTR _i$[ebp] 
shl ecx, 1 
mov edx, DWORD PTR _i$[ebp] 
mov DWORD PTR _a$[ebp+edx*4], ecx 
jmp SHORT $LN5@main 
$LN4@main: 
mov DWORD PTR _i$[ebp], 0 
jmp SHORT $LN3@main 
$LN2@main: 
mov eax, DWORD PTR _i$[ebp] 
add eax, 1 
mov DWORD PTR _i$[ebp], eax 
$LN3@main: 
cmp DWORD PTR _i$[ebp], 20 ; 00000014H 
jge SHORT $LN1@main 
mov ecx, DWORD PTR _i$[ebp] 
mov edx, DWORD PTR _a$[ebp+ecx*4] 
push edx 
mov eax, DWORD PTR _i$[ebp] 
push eax 
push OFFSET $562463 
call printf 
add esp, 12 ; 0000000cH 
jmp SHORT $LN2@main 
$LN1@main: 
xor eax, eax 
mov esp, ebp 
pop ebp 
ret 0 
_та1п ЕМОР 


Ничего особенного, просто два цикла. Один изменяет массив, второй печатает 


его содержимое. Команда shl ecx, 1 используется для умножения ECX на 2, 
об этом: (1.24.2 (стр. 282)). 


Под массив выделено в стеке 80 байт, это 20 элементов по 4 байта. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Попробуем этот пример в OllyDbg. 


Видно, как заполнился массив: каждый элемент это 32-битное слово типа int, 


с шагом 2: 


5 Bø МОУ DWORD 

ЕВ JMP SHORT 
C745 AC ogag mm DWORD PT 
J а 


› 


м 


Тим= 
Stack ГЯВІЗҒЕҒЯЈ=00000014 (decimal 
Jump from 40101C 


ос; 


1б 


90000026 
90000013 
00000000 
› @@18РЕР@ 
› 88132244 
90000081 
9848338С 


1 

І 

Р 8948182С 
А А 

1 

а 

1 


CLOCAL. 217 


1.211, ЕАХ 
L.211,14 


S:[LOCAL.21] 


5 ай 


иан 
PTR $5:[LOCAL.21] 


огыр 0с) M mmmMMM MMM 


empty 
empty 


CLOCAL. 211 
[ЕСХ*4+ЕВР-58] 


CLOCAL. 211 


ох 
= =ч 


401 
ЕЕЕЕЕЕЕ) 


а(ЕЕЕЕЕЕЕЕ) 


АСЕЕЕЕЕЕЕЕ) 


‚ ZEFDDØGO( FFF) 


ØLFFFFFFFF) 


Pr +a! зФ+#ъ© ШЫ» S 


RETURN from s 


Рис. 1.87: OllyDbg: после заполнения массива 


А так как этот массив находится в стеке, то мы видим все его 20 элементов 


внутри стека. 


GCC 


Рассмотрим результат работы GCC 4.4.1: 


Листинг 1.229: ССС 4.4.1 


public main 


main proc near 


; DATA XREF: _start+17 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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амо га 
амо га 
амо га 
амо га 
амо га 


-< 

Ф 

i 

© 

со 
пушо лоп 


ло зә 
с5о с 
Tasu 

5 


mov 
jmp 


loc 80483Е7: 
mov 
mov 
add 
mov 
add 


loc 804840А: 
cmp 
jle 
mov 
jmp 


loc 804841В: 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
call 
add 


loc 8048441: 
cmp 
jle 
mov 
leave 
retn 


main endp 


ptr -70h 

ptr —6Сһ 

ptr -68h 

ptr -54h 

ptr -4 

ebp 

ebp, esp 

esp, OFFFFFFFOh 

esp, 70h 

[esp+70h+i], 0 ; 1=0 
short 1ос 804840А 

eax, [еѕр+70һ+і] 

едх, [еѕр+70һ+і] 

edx, edx ; edx=i*2 
[е<р+еах*4+70һ+1_2], edx 
[esp+70h+i], 1 ; i++ 
[esp+70h+i], 13h 

short loc 80483Р7 

[esp+70h+i], 0 

short loc 8048441 

eax, [esp+70h+i] 

edx, [еѕр+еахж4+70һ+і 2] 

eax, offset аАрр ; "a[%d]=%d\n" 


[esp+70h+var_68], edx 
edx, [esp+70h+i] 
[esp+70h+var_6C], edx 
[esp+70h+var_70], eax 
_printf 

[esp+70h+i], 1 


[esp+70h+i], 13h 
short loc_804841B 
eax, 0 


Переменная a в нашем примере имеет тип int* (указатель Ha int). Вы можете 
попробовать передать в другую функцию указатель на массив, но точнее было 
бы сказать, что передается указатель на первый элемент массива (а адреса 
остальных элементов массива можно вычислить очевидным образом). 


Если индексировать этот указатель как а//ах], idx просто прибавляется к ука- 
зателю и возвращается элемент, расположенный там, куда ссылается вычис- 


ленный указатель. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Вот любопытный пример. Строка символов вроде string это массив из символов. 
Она имеет тип const сһаг[]. К этому указателю также можно применять индекс. 


Поэтому можно написать даже так: «5+ гіпо» [і] — это совершенно легальное 
выражение в Си/Си++! 


АКМ 
Неоптимизирующий Кей 6/2013 (Режим АВМ) 


EXPORT _та1п 
_та1п 
ЅТМЕр ЅР!, {R4,LR} 
; выделить место для 20-и переменных типа int: 


SUB SP, SP, #0x50 
; первый цикл: 
MOV R4, #0 Е 
В 1ос 4А0 
Тос 494 
MOV RO, R4,LSL#1 ; RO=R4*2 
; сохранить RO B SP+R4<<2 (то же что и SP+R4*4): 
STR RO, [SP,R4,LSL#2] 
ADD R4, R4, #1 ; 1=1+1 
loc 4А0 
CMP R4, #20 ; i<20? 
BLT loc_494 ; да, запустить тело цикла снова 
; второй цикл: 
MOV R4, #0 Е 
В 1ос 4С4 
1ос 4В0 
LDR R2, [SP,R4,LSL#2]; (второй аргумент printf) 
В2=* (SP+R4<<4) (то же что и *(SP+R4*4)) 
MOV R1, R4 ; (первый аргумент printf) В1=1 
ADR RO, aADD ; "a[%d]=%d\n" 
BL _ 2printf 
ADD R4, R4, #1 ; i=i+1 
loc 404 
CMP R4, #20 ; 1<20? 
BLT loc_4B0 ; да, запустить тело цикла снова 
MOV RO, #0 ; значение для возврата 
; освободить блок в стеке, выделенное для 20 переменных: 
ADD SP, SP, #0x50 


LDMFD  SP!, {R4,PC} 


Тип int требует 32 бита для хранения (или 4 байта), 
так что для хранения 20 переменных типа int, нужно 80 (0x50) байт. 


Поэтому инструкция 50В 5Р, ЅР, #0х50 в прологе функции выделяет в локаль- 
ном стеке под массив именно столько места. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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И в первом и во втором цикле итератор цикла / будет постоянно находиться в 
регистре R4. 


Число, которое нужно записать в массив, вычисляется так: = х 2, и это эквива- 
лентно сдвигу на 1 бит влево, 
так что инструкция MOV RO, В4,151#1 делает это 


STR RO, [SP,R4,LSL#2] записывает содержимое RO в массив. Указатель на эле- 
мент массива вычисляется так: SP указывает на начало массива, В 4 это i. 


Так что сдвигаем i на 2 бита влево, что эквивалентно умножению на 4 (ведь 
каждый элемент массива занимает 4 байта) и прибавляем это к адресу начала 
массива. 


Во втором цикле используется обратная инструкция 
LDR R2, [SP,R4,LSL#2]. Она загружает из массива нужное значение и указа- 
тель на него вычисляется точно так же. 


Оптимизирующий Кей! 6/2013 (Режим Thumb) 


_та1п 
РОЅН {R4,R5, LR} 
; выделить место для 20 переменных типа int + еще одной переменной: 


SUB SP, SP, #0x54 
; первый цикл: 

MOVS RO, #0 Н" 

MOV R5, SP ; указатель на первый элемент массива 
Тос 1СЕ 

LSLS R1, RO, #1 ; Rl=i<<1 (то же что и i*2) 

LSLS R2, RO, #2 ; В2=1<<2 (то же что и 1*4) 

ADDS RO, RO, #1 ; i=i+1 

CMP RO, #20 ; i<20? 

STR R1, [R5,R2] ; сохранить R1 B *(R5+R2) (то же что n R5+i*4) 

BLT loc_1CE ; да, 1<20, запустить тело цикла снова 
; второй цикл: 

MOVS R4, #0 ; 1=0 
Тос 10С 

LSLS RO, R4, #2 ; RỌO=i<<2 (то же что и 1*4) 

LDR R2, [R5,RỌO] ; загрузить из *(R5+R0O) (то же что n R5+i*4) 

MOVS R1, R4 

ADR RO, aADD ; "al[%d]=%d\n" 

BL _ 2printf 

ADDS R4, R4, #1 ; i=i+1 

CMP R4, #20 ; i<20? 

BLT loc_1DC ; да, 1<20, запустить тело цикла снова 

MOVS RO, #0 ; значение для возврата 


; освободить блок в стеке, выделенное для 20-и переменных типа 1пї 
; и еще одной переменной: 

ADD SP, SP, #0x54 

POP {R4,R5, PC} 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Код для Thumb очень похожий. В Thumb имеются отдельные инструкции для 
битовых сдвигов (как LSLS), вычисляющие и число для записи в массив и адрес 
каждого элемента массива. 


Компилятор почему-то выделил в локальном стеке немного больше места, од- 
нако последние 4 байта не используются. 


Неоптимизирующий ССС 4.9.1 (АВМ64) 


Листинг 1.230: Неоптимизирующий ССС 4.9.1 (ААМ64) 


.LCO: 
.string "a[%d]=%d\n" 

main: 

; сохранить FP и LR в стековом фрейме: 
stp x29, x30, [5р, -112]! 

; установить стековый фрейм (FP=SP) 
ааа х29, 5р, 0 


; установить начальное значение счетчика в 0 
; (WZR это регистр всегда содержащий ноль): 


str wzr, [x29,108] 
; перейти на код проверки условия цикла: 
b .L2 


„ЕЗ? 

; загрузить значение переменной "1": 
1аг м9, [х29, 108] 

; умножить на 2: 


151 м2, м0, 1 
; найти место массива в локальном стеке: 
ааа x0, x29, 24 


; загрузить 32-битное число из локального стека 
; и расширить его до 64-битного учитывая знак: 
14г5м х1, [х29, 108] 
; вычислить адрес элемента (Х0+Х1<<2=аггау address+i*4) и записать W2 (1*2) 


там: 

str w2, [х0,х1,151 2] 
; инкремент счетчика (1): 

1аг м0, [х29, 108] 

ааа w0, м0, 1 

str w0, [x29,108] 
‚12: 
; проверить, закончили ли: 

ldr w0, [x29,108] 


cmp w0, 19 
; перейти на L3 (начало тела цикла), если нет: 
ble 13 


; здесь начинается вторая часть функции. 
; устанавливаем первичного значение счетчика в 0. 
; кстати, это же место в локальном стеке было уже использовано под счетчик 
; потому что та же локальная переменная (1) используется как счетчик. 
str wzr, [x29,108] 
b 14 
„|5 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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вычислить адрес массива: 
ааа х0, х29, 24 

загрузить переменную "1": 
1агѕм х1, [х29,108] 

; загрузить значение из массива по адресу (Х0+Х1<<2 = адрес массива + 1*4) 
1аг м2, [х0,х1,151 2] 

загрузить адрес строки "а[%а]=%4\п" : 
айгр х0, .LCO 
ааа х0, х0, :1012:.1С0 

загрузить переменную "1" в W1 и передать её в ргіпї#() как второй аргумент: 
1аг м1, [х29,108] 

; М2 всё еще содержит загруженный элемент из массива. 

вызов printf(): 
bl printf 

инкремент переменной "1": 
ldr w0, [x29,108] 
add w0, м0, 1 
str w0, [x29,108] 


‚14: 

; закончили? 
ldr м0, [x29,108] 
cmp w0, 19 

; перейти на начало тела цикла, если нет: 
ble ‚15 

; возврат 0 
тоу м0, 0 

; восстановить ЕР и LR: 
1ар x29, x30, [sp], 112 
ret 

MIPS 


Функция использует много 5-регистров, которые должны быть сохранены. Вот 
почему их значения сохраняются в прологе функции и восстанавливаются в 
эпилоге. 


Листинг 1.231: Оптимизирующий ССС 4.4.5 (IDA) 


main: 

var_70 = -0х70 

var 68 = -0х68 

var_14 = -0x14 

var_10 = -0x10 

var C = —0xC 

var 8 = -8 

маг 4 = -4 

; пролог функции: 
lui $gp, (__опи 1оса1 ор >> 16) 
addiu %5р, -0x80 
la $gp, (_gnu_local_gp & ОхЕЕЕР) 
Sw $ra, 0x80+var_4($sp) 
SW $s3, 0x80+var_8($sp) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Sw $52, 0x80+var_C($sp) 
Sw $s1, 0x80+var_10($sp) 
Sw $s0, 0x80+var_14($sp) 
sw фор, 0x80+var_70($sp) 
addiu $51, $sp, 0x80+var 68 
move $v1, $s1 

move $у0, $zero 


; это значение используется как терминатор цикла. 
; оно было вычислено компилятором GCC на стадии компиляции: 


11 фаб, 0x28 # '(' 
1ос 34: # CODE XREF: та1п+3С 
‚ сохранить значение в памяти: 

SW $у0, O($v1) 


увеличивать значение (которое будет записано) на 2 на каждой итерации: 
addiu $у0, 2 
; дошли до терминатора цикла? 
bne $у0, $a0, loc 34 
; в любом случае, добавляем 4 к адресу: 
addiu $v1, 4 
; цикл заполнения массива закончился 
; начало второго цикла 


1а $53, $100 # "а[%а]=%а\п" 
; Переменная "1" будет находиться в $50: 

поме $50, $zero 

11 $52, 0х14 
Тос 54: # CODE XREF: main+70 
; вызов printf(): 

1м $19, (printf & ОХЕҒЕЕ) ($9р) 

м $а2, 0($51) 

поме $а1, $50 

поме фаб, $53 

jalr $t9 


‚ инкремент Та 
addiu $s0, 1 


1м фор, Өх80+маг 70 (%5р) 
; перейти на начало тела цикла, если конец еще не достигнут: 
bne $s0, $s2, loc 54 


; передвинуть указатель на следующее 32-битное слово: 
addiu $51, 4 
; эпилог функции 


1м $ra, Өх80+үаг 4(%$5р) 
поме $0, $zero 

lw $s3, 0x80+var_8($sp) 
lw $52, 0x80+var_C($sp) 
1м $51, 0x80+var_10($sp) 
lw $s0, 0x80+var_14($sp) 
jr $ra 


addiu %5р, 0x80 


$LCO: „ascii "a[%d]=%d\n"<0> # DATA XREF: main+44 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Интересная вещь: здесь два цикла и в первом не нужна переменная i, а нужна 
только переменная #»2 (скачущая через 2 на каждой итерации) и ещё адрес в 
памяти (скачущий через 4 на каждой итерации). 


Так что мы видим здесь две переменных: одна (в $\0) увеличивается на 2 Kax- 
дый раз, и вторая (в $V1) — на 4. 


Второй цикл содержит вызов printf (). Он должен показывать значение поль- 
зователю, поэтому здесь есть переменная, увеличивающаяся на 1 каждый раз 
(в $50), а также адрес в памяти (в $51) увеличивающийся на 4 каждый раз. 


Это напоминает нам оптимизацию циклов: 3.8 (стр. 619). Цель оптимизации в 
том, чтобы избавиться от операций умножения. 


1.26.2. Переполнение буфера 
Чтение за пределами массива 


Итак, индексация массива — это просто массив[индекс]. Если вы присмотри- 
тесь к коду, в цикле печати значений массива через printf() вы не увидите 
проверок индекса, меньше ли он двадцати? А что будет если он будет 20 или 
больше? Эта одна из особенностей Си/Си++, за которую их, собственно, и py- 
гают. 


Вот код, который и компилируется и работает: 


#include <stdio.h> 


int main() 


{ 
int a[20]; 
int i; 


for (i=0; i<20; i++) 
а[1]=1*2; 


printf ("а[20]=%а\п", а[20]); 


return 0; 


}; 


Вот результат компиляции в (MSVC 2008): 


Листинг 1.232: Неоптимизирующий MSVC 2008 


$562474 DB 'а[20]=%4', дан, OOH 


4 
80 


_1$ -84 ; size 
_а$ -80 ; size 
_main PROC 
push ebp 
mov ebp, esp 
sub esp, 84 
mov DWORD PTR _i$[ebp], 0 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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348 


јтр SHORT $LN3@main 
$LN2@main: 

mov eax, DWORD PTR _i$[ebp] 

add eax, 1 

mov DWORD PTR _i$[ebp], eax 
$LN3@main: 

cmp DWORD PTR _i$[ebp], 20 

jge SHORT $LN1@main 

mov ecx, DWORD PTR _i$[ebp] 

shl ecx, 1 

mov edx, DWORD PTR _i$[ebp] 

mov DWORD PTR _a$[ebp+edx*4], ecx 


jmp SHORT $LN2@main 

$LN1@main: 
mov eax, DWORD PTR _a$[ebp+80] 
push eax 


push OFFSET $562474 ; 'a[20]=%d' 
call DWORD PTR imp printf 


add esp, 8 
xor eax, eax 
mov esp, ebp 
pop ebp 
ret 0 
_та1п ЕМОР 
_ТЕХТ ENDS 


END 


Данный код при запуске выдал вот такой результат: 


Листинг 1.233: OllyDbg: вывод в консоль 


а[20]=1638280 


Это просто что-то, что волею случая лежало в стеке рядом с массивом, через 
80 байт от его первого элемента. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Попробуем узнать в OllyDbg, что это за значение. Загружаем и находим это 
значение, находящееся точно после последнего элемента массива: 


СРО - main thread, module r 


НО ЕВЕ ESP Е - 
поо уна SS: [LOCAL. 211,0 ЕС. 0з020026 
JMP SHORT 00401018 ' 00000013 

Он EAX, DWORD PTR $5: ГЕОСЯЬ. 213 a 


В 
DWORD PTR S$S:[LOCAL. 211, EAX 
DWORD PTR S$S:[LOCAL.211,14 
SHORT 60040102C 

ЕСК, ШОРО РТВ $S:[LOCAL.21] 


EDX, DWORD PTR SS:[LOCAL. 21] 
894С95 BØ DWORD PTR 55: [Е0Х*4+ЕВР-581,ЕСХ 
ЕВ ЕЗ JMP SHORT 8848188Е 

45 MOU EAX, DWORD PTR SS:[LOCAL. 0] 
58 PUSH EAX 
68 00304000 |PUSH OFFSET 00403000 
FF15 992848081 CALL DWORD PTR DS:[<&MSUCR90.printf>] 
83C4 08 ADD ESP, 8 


XOR EAX, EAX 
MOU ESP, EBP 
РОР EBP 


сз ВЕТМ 

68 28144000 |PUSH 00401428 

ЕЗ 9DØ3000Ø |CALL 004013ЕВ 

A1 50304000 |MOU EAX, DWORD PTR 05: [4838581 
s да МО ШШДЕП ЕТЕ 2, а" Я 0 


ALFFFFFFFF) 
FFFFFFFF) 

t ØLFFFFFFFF) 
В(ЕЕЕЕЕЕЕЕ) 
?ЕЕППӘЙЙГЕРЕ) 
@ГЕРЕЕРЕРЕ) 


офф т AHDU 


T ATOE 


==, 
ооо 


LastErr 000! 


Ame 
т 


ca И И 
Stack [001SFF44]=0018FF88 
EAX=00000014 (decimal 28. ) 
Jump from 401010 


jrr 8+0 Ф 


RETURN from т.0041, 


Рис. 1.88: OllyDbg: чтение 20-го элемента и вызов printf() 


Что это за значение? Судя по разметке стека, это сохраненное значение реги- 
стра ЕВР. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Трассируем далее, и видим, как оно восстанавливается: 


CPU - тат thread, module r 


PUSH ЕВР 
MOU EBP, ESP 
SUB ESP, 54 
MOU DWORD PTR ОСЛЕ» 
JMP SHORT 984819 
ou EAX, ОВО PTR $S:[LOCAL.21] 


EAX 

ООО РТВ 55: С_0СЯГ.211,ЕЯХ 
DWORD PTR 55: р. 211,14 

SHORT 0040102 

ECX, PUORO БТЕ? $$: [6ОСЯЁ.211 


ЕРИ, Suoro PTR SS:[LOCAL.21] 
894С95 BØ DWORD PTR 55: [Е0Х*4+ЕВР-581,ЕСХ 
ЕВ ЕЗ JMP_SHORT 8848188Е 

8845 00 MOU EAX, DWORD РТВ $$: [ЕОСАЁ. 81 

58 PUSH EAX 

68 00304000 |PUSH OFFSET 00403000 

FF15 99204801 CALL DWORD PTR DS:[<&MSUCR90.printf>] 
ADD ЕЗР, 8 

XOR EAX, EAX 

MOU ESP, EBP 

РОР ЕВР 

сз ВЕТМ 

68 28144000  РИЅН 90401428 

ЕЗ 90830008 |CALL 004013EB 

Al „50504808 nou EAH, DWORD PTR D51 C4020601 


ØLFFFFFFFF) 
@(ЕЕЕЕЕЕЕЕ) 
@(ЕЕЕЕЕЕЕЕ) 
В(ЕЕЕЕЕЕЕЕ) 
ТЕРООЯВВ(ЕЕЕ) 
ВГЕЕРЕРЕЕЕ) 


HOND TO 


оо 


ГА 


в] и + юе Ө 
СӨ 


Pointer to nest SI 
SE handler 


ь t ЕЯшыц+@ 
(Хш 


u$ př 33| RETURN to Кегпе [3 


RETURN то ntdll.? 


Рис. 1.89: OllyDbg: восстановление EBP 


Действительно, a как могло бы быть иначе? Компилятор мог бы встроить какой- 
то код, каждый раз проверяющий индекс на соответствие пределам массива, 
как в языках программирования более высокого уровня!?3, что делало бы 3a- 
пускаемый код медленнее. 


Запись за пределы массива 


Итак, мы прочитали какое-то число из стека явно нелегально, а что если мы 
запишем? 


Вот что мы пишем: 


#include <stdio.h> 


int main() 


123\ауа, Python, ит. д. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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{ 
int а[20]; 
int i; 
for (i=0; i<30; i++) 
а[1]=1; 
return 0; 
}; 
MSVC 


И вот что имеем на ассемблере: 


Листинг 1.234: Неоптимизирующий MSVC 2008 


_ТЕХТ SEGMENT 


_1$ = -84 ; size = 4 
_а$ = -80 ; size = 80 
_main PROC 

push ebp 

mov ebp, esp 


sub esp, 84 
mov DWORD РТВ i$[ebp], © 
jmp SHORT $LN3@main 


$LN2@main: 

mov eax, DWORD PTR _i$[ebp] 
add eax, 1 

mov DWORD PTR _i$[ebp], eax 
$LN3@main: 


cmp DWORD PTR _i$[ebp], 30 ; 0000001ен 
jge SHORT $LN1@main 
mov ecx, DWORD PTR _i$[ebp] 


mov edx, DWORD PTR _i$[ebp] ; явный промах компилятора. эта 
инструкция лишняя. 
mov DWORD PTR а$[ерр+есхж4], edx ; а здесь в качестве второго операнда 


подошел бы ЕСХ. 
jmp SHORT $LN2@main 


$LN1@main: 

xor eax, eax 
mov esp, ebp 
pop ebp 
ret 0 

_таіп ЕМОР 


Запускаете скомпилированную программу, и она падает. Немудрено. Но да- 
вайте теперь узнаем, где именно 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Загружаем в OllyDbg, трассируем пока запишутся все 30 элементов: 


СРО 


00401000 
00401001 
00401003 
00401006 
00401000 


00491054 
88481828 
@ай4й1@2Н 
Е 


00481026 
00401 Е 
00401035 


00403000 
00403010 
00403020 
00403030 
00403040 
00403050 
00403060 


00403070| В 


00403080 


00403080 
00403230C 
00403000 
00403230E 
00604030F 
кеке 


а 3 
00403140| В 


00403150 
904 az] 
004 


00493199 а 


98493189 
00403180 
0040310 


004031D0| В 


004031E0 
004031F0 
00403200 


main threa 


$ 


Гаете 


> 


+++ жу * 


55 

SBEC 

83ЕС 54 
С745 ЯС @@@@ 
ЕВ 09 

8845 AC 
esco 01 
8945 AC 
9370 НС 1E 
70 ØC 

3840 AC 
8855 ЯС 
895480 BØ 
ЕВ ЕБ. 


єз 

68 14144000 
ЕЗ 90838888 
A1 40304000 
C70424 2C304 


РОР ЕВР 
RETN 


module 


PUSH ЕВР 

MOU EBP, ESP 

SUB ESP, 54 

MOU DWORD PTR S$S:[LOCAL.211,0 
JMP SHORT 00401018 

моу ЕХ, ШОРО РТВ $$: С_0САГ.211 


EAX, 
DWORD PTR 55: С_0САГ.211,ЕЯХ 
DWORD PTR S$S:[LOCAL.21], 1E 
SHORT 06040102A 
ECX, DWORD PTR SS:[LOCAL.21] 
EDX, DWORD PTR LOCAL. 211 
DWORD PTR SS: СЕСХЖ4+ЕВР-501,Е0Х 
МР SHORT 60040100F 
XOR EAX, EAX 
MOV ESP, EBP 


PUSH 00401414 

CALL 00401207 

MOU EAX, DWORD PTR DS:[403040] 

MOY DWORD PTR ЗЕ SA li OFFSET 90403 


у Г 
утїнс КЬ 
айч 


ЕЕ 


88000810 
80000810 
00000808 


оочогмрзо 
эооо-о-о 


LastErr 
EFL 000009246 


STO empty 
ST1 empty 


OOLSFEF4 
9913РЕРЗ 
@@18ЕЕЕС 
@@18ЕЕ@@ 
88132294 
89132298 
@@018ЕЕ@С 
@Йй18ЕЕ1@ 
88132214 
0018FF18 
@@18ЕЕ1С 
0018FF20 
88132224 
88132228 
@й18ЕЕ2С 
0018F 


001SFF38 
@й18ЕЕЗС 
88132248 
Е 


ЕЯ 
@й18ЕЕ5@ 
@@й18ЕЕ54 
88132258 
@@18ЕЕ5БС 
891372268 
98132264 
08137268 


ТТ 


w. 0040337С 
ЕТР 0040102Ғ w. 00040102F 


3 32bit 


32bit 
32bit 
22bit 


3 32bit 


32bit 


ØLFFFFFFFF) 
В(ЕЕЕЕЕЕЕЕ) 
В(ЕЕЕЕЕЕЕЕ) 
В(ЕЕЕЕЕЕЕЕ) 
?ЕЕООВЯВ(ЕЕЕ) 
В(ЕЕЕРЕЕЕЕ) 


в0в89898 ERROR_SUCCESS 
(NO, NB, Е, ВЕ, NS, РЕ, GE, LE) 


й@й@йййййй 
80000001 


20008014 
20000015 
00000016 
00000017 
00000018 
00000019 
0000001я 
000000186 
88080981С 
000809010 


= Ф А чр шз +оо 


Р) -з 


ФГ +++! 


. 1.90: OllyDbg: после восстановления ЕВР 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Доходим до конца функции: 


CPU - main thread 


ØLFFFFFFFF) 
FFFFFFFF) 
FFFFFFFF) 

ALFFFFFFFF) 

7ЕРОО89В( FFF) 

ØLFFFFFFFF) 


38 ERRO CCESS 
246 (МО, МВ,Е, ВЕ, М5, РЕ, БЕ, LE) 


+r +44 8 


Pointer to nest 51 
SE handler 


RETURN то Кегпе[3; 


RETURN to ntdll. 7 


Ф t |Pointer to nest SI 
їа#ы | SE handler 
Мако 


Рис. 1.91: OllyDbg: ЕР восстановлен, но OllyDbg не может дизассемблировать 
по адресу 0х15 


Итак, следите внимательно за регистрами. 


ЕІР теперь 0х15. Это явно нелегальный адрес для кода — по крайней мере, 
мп32-кода! Мы там как-то очутились, причем, сами того не хотели. Интересен 
также тот факт, что в ЕВР хранится 0x14, а в ECX и EDX хранится 0х10. 


Ещё немного изучим разметку стека. 


После того как управление передалось в та1п(), в стек было сохранено 3Ha- 
чение ЕВР. Затем для массива и переменной i было выделено 84 байта. Это 
(20+1)*sizeof(int). ESP сейчас указывает на переменную і в локальном CTE- 
ке и при исполнении следующего РОЅН что-либо, вот это вот что-либо появит- 
ся рядом с i. 


Вот так выглядит разметка стека пока управление находится внутри та1п(): 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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ЕЅР 4 байта выделенных для переменной т 
ESP+4 | 80 байт выделенных для массива а[20] 
Е5Р+84 | сохраненное значение ЕВР 

Е5Р+88 | адрес возврата 


Выражение а[19]=что_нибудь записывает последний int в пределах массива 
(пока что в пределах!). 


Выражение а[20]=что нибудь записывает что нибудь на место где сохранено 
значение ЕВР. 


Обратите внимание на состояние регистров на момент падения процесса. В 
нашем случае в 20-й элемент записалось значение 20. И вот всё дело в том, 
что заканчиваясь, эпилог функции восстанавливал значение ЕВР (20 в деся- 
тичной системе это как раз 0x14 в шестнадцатеричной). Далее выполнилась 
инструкция ВЕТ, которая на самом деле эквивалентна РОР ЕТР. 


Инструкция ВЕТ вытащила из стека адрес возврата (это адрес где-то внутри 
САТ, которая вызвала та1п()), а там было записано 21 в десятичной системе, 
то есть 0х15 в шестнадцатеричной. И вот процессор оказался по адресу 0х15, 
но исполняемого кода там нет, так что случилось исключение. 


Добро пожаловать! Это называется buffer омегйои/1 2“. 


Замените массив int на строку (массив char), нарочно создайте слишком длин- 
ную строку, передайте её в ту программу, в ту функцию, которая не проверяя 
длину строки скопирует её в слишком короткий буфер, и вы сможете указать 
программе, по какому именно адресу перейти. Не всё так просто в реально- 
сти, конечно, но началось всё с этого. Классическая статья об этом: [А!ерһ Опе, 
Smashing Тһе Stack For Fun And РгойЕ (1996)]1?5. 


GCC 


Попробуем то же самое в ССС 4.4.1. Y нас выходит такое: 


public main 
main proc near 


Ф 
1 


= dword ptr -54h 


i = dword ptr -4 

push ebp 

mov ebp, esp 

sub esp, 60h ; 96 

mov [ebp+i], 0 

jmp short loc 8048301 
loc 80483С3: 

mov eax, [ebp+i] 

mov edx, [ebp+i] 

mov [ерр+еахж4+а], edx 


124Wwikipedia 
125Также доступно здесь: http://yurichev.com/mirrors/phrack/p49-0x0e.txt 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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ааа [ерр+і], 1 
1ос 8048301: 
стр [ебр+1], 108 
jle short loc 80483С3 
mov eax, 0 
leave 
retn 
main endp 


Запуск этого B Linux выдаст: Segmentation fault. 


Если запустить полученное B отладчике GDB, получим: 


(gdb) г 
Starting program: /һоте/деппіѕ/ВЕ/1 


Program received signal SIGSEGV, Segmentation fault. 
0x00000016 in ?? () 
(gdb) info registers 


eax 0x0 0 

есх 0xd2f96388 -755407992 
edx 90х14 29 

ерх 0x26eff4 2551796 

еѕр Oxbffff4b0 Oxbffff4b0 
ebp 0x15 0x15 

esi 0x0 0 

еді 0х0 0 

е1р 0х16 0x16 

eflags 0x10202 [ ТЕ RF ] 

cS 0x73 115 

SS 0x7b 123 

ds 0x7b 123 

es 0x7b 123 

fs 0x0 0 

95 0x33 51 

(gdb) 


Значения регистров немного другие, чем в примере win32, потому что размет- 
ка стека чуть другая. 


1.26.3. Защита от переполнения буфера 


В наше время пытаются бороться с переполнением буфера невзирая на халат- 
ность программистов на Си/Си++. В MSVC есть опции вроде!?: 


/ВТС5 Stack Frame runtime checking 
/GZ Enable stack checks (/RTCs) 


12бописания защит, которые компилятор может вставлять B код: 
wikipedia.org/wiki/Buffer_overflow_protection 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Одним из методов является вставка в прологе функции некоего случайного 
значения в область локальных переменных и проверка этого значения в эпи- 
логе функции перед выходом. Если проверка не прошла, то не выполнять ин- 
струкцию ВЕТ, а остановиться (или зависнуть). Процесс зависнет, но это лучше, 
чем удаленная атака на ваш компьютер. 


Это случайное значение иногда называют «канарейкой» 127, по аналогии с 


шахтной канарейкой!28. Раньше использовали шахтеры, чтобы определять, есть 
ли в шахте опасный газ. 


Канарейки очень к нему чувствительны и либо проявляли сильное беспокой- 
ство, либо гибли от газа. 


Если скомпилировать наш простейший пример работы с массивом (1.26.1 (стр. 338)) 
в М5\С с опцией ВТС! или ВТС$5, в конце нашей функции будет вызов функции 
@ АТС _CheckStackVars@8, проверяющей корректность «канарейки». 


Посмотрим, как дела обстоят в ССС. Возьмем пример из секции про а11оса() (1.9.2 
(стр. 48)): 


#ifdef __ GNUC 

#include <alloca.h> // GCC 
#else 

#include <malloc.h> // MSVC 
#endif 

#include <stdio.h> 


void f() 


{ 

char жри#= (сһагж)а11оса (600); 
#ifdef _ смс __ 

snprintf (buf, 600, "hi! %d, %d, %d\n", 1, 2, 3); // GCC 
#else 

_snprintf (buf, 600, "hi! %d, %d, %d\n", 1, 2, 3); // М5\С 
#endif 


puts (buf); 
}; 


По умолчанию, без дополнительных ключей, ССС 4.7.3 вставит в код проверку 
«канарейки»: 


Листинг 1.235: ССС 4.7.3 


. ЕСО: 

.Ѕігіпд "hi! %d, %4, %4\п" 
T: 

push ebp 

mov ebp, esp 

push ebx 

sub esp, 676 

lea ebx, [esp+39] 


127 «canary» в англоязычной литературе 


128 пам. ги/мИКИКанарейка_в_шахте 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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апа ерх, -16 
mov DWORD PTR [esp+20], 3 
mov DWORD PTR [esp+16], 2 
mov DWORD PTR [esp+12], 1 
mov DWORD РТА [esp+8], OFFSET FLAT:.LCO ; “hi! %d, %d, %d\n" 
mov DWORD PTR [esp+4], 600 
mov DWORD PTR [esp], ebx 
mov eax, DWORD PTR gs:20 ; канарейка 
mov DWORD PTR [ebp-12], eax 
xor eax, eax 
call _snprintf 
mov DWORD PTR [esp], ebx 
call puts 
mov eax, DWORD PTR [ebp-12] 
xor eax, DWORD PTR gs:20 ; проверка канарейки 
jne ‚15 
mov ebx, DWORD РТА [ebp-4] 
leave 
ret 
:L5: 
call _ Sstack_chk_fail 


Случайное значение находится в 95:20. Оно записывается в стек, затем, B 
конце функции, значение в стеке сравнивается с корректной «канарейкой» в 
95:20. Если значения не равны, будет вызвана функция stack chk Та1 ив 
консоли мы увидим что-то вроде такого (Ubuntu 13.04 x86): 


xxx buffer overflow detected жжж: ./2_1 terminated 
======= ВасКфгасе: ========= 
/116/1386—11пих-дпи/116с.50.6(__Тог{1Ту Ғаі1+0х63) [9х676996с3] 
/116/1386—11пих-дпи/116с.50.6(+0х10593а) [9х6769893а] 
/116/1386-1іпих-дпи/1ірс. ѕо.6(+0х105008) [9х67698008] 
/116/1386-1іпих-дпи/11рс. ѕ0.6( ІО default хѕриїп+0х8с) [0х67606е5с] 
/116/1386—11пих-дпи/116с. ѕ50.6( ІО vfprintf+0x165)[0xb75d7a45] 
/116/1386—11пих-дпи/116с.50.6(__ мѕргіпі? сһк+0хс9 ) [0х07698099] 
/lib/i386-linux-gnu/libc.so.6(__sprintf_chk+0x2f)[0xb7697fef] 
./2_1[0x8048404] 

/lib/i386-linux-gnu/libc.so.6(_ libc_start_main+0xf5)[0xb75ac935] 


08048000-08049000 r-xp 00000000 08:01 2097586 /home/dennis/2_1 
08049000-0804a000 r--p 00000000 08:01 2097586 /home/dennis/2_1 
0804a000-0804b000 rw-p 00001000 08:01 2097586 /home/dennis/2_1 
094d1000-094f2000 rw-p 00000000 00:00 0 [heap] 
b7560000-b757b000 r-xp 00000000 08:01 1048602 /lib/i386-linux-gnu/ 2 
ъ 1109СС_5.50.1 
07570000-0757с000 г--р 0001а000 08:01 1048602 /110/1386-11пих-опи/ 2 
ъ libgcc_s.so.1 
Ь757с000-67579000 rw-p 00010000 08:01 1048602 /110/1386-11пих-опи/ г 
ъъ libgcc_s.so.1 
Ь7592000-67593000 rw-p 00000000 00:00 0 
Ь7593000-67740000 r-xp 00000000 08:01 1050781 /1160/1386-1іпих-дпи/1ірс› 
$ -2.17.50 
07740000-07742000 г--р 001а0000 08:01 1050781 /1160/1386-1іпих-дпи/1ірс› 
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4 -2.17.50 
07742000-07743000 rw-p 001а1000 08:01 1050781 /110/1386-1іпих-дпи/1ірс 
4 -2.17.50 
07743000-07746000 rw-p 00000000 00:00 0 
0775а000-07754000 rw-p 00000000 00:00 0 
07754000-0775е000 r-xp 00000000 00:00 0 
0775е000-0777е000 r-xp 00000000 08:01 1 


[№450] 
050794 /11Ь/1386-11пих-опи/1аг 


4 -2.17.50 

b777e000-b777f000 г--р 00011000 08:01 1050794 /110/1386-1іпих-дпи/14/ 
4 -2.17.50 

0777#000-07780000 rw-p 00020000 08:01 1050794 /110/1386-1іпих-дпи/14 2 
 =2.17.50 

bff35000-bff56000 rw-p 00000000 00:00 0 [stack] 


Aborted (core dumped) 


95 это так называемый сегментный регистр. Эти регистры широко использо- 
вались во времена MS-DOS и 005-экстендеров. Сейчас их функция немного 
изменилась. Если говорить кратко, в Linux gs всегда указывает на TLS??? (6.2 
(стр. 951)) — там находится различная информация, специфичная для выпол- 
няющегося потока. 


Кстати, в міп32 эту же роль играет сегментный регистр fs, он всегда указыва- 
ет на TIB}? 131. 


Больше информации можно почерпнуть из исходных кодов Linux (по крайней 
мере, в версии 3.11): 

в файле агсһ/х86/іпсІиае/аѕт/ѕ;аскргоїесїог.ћ в комментариях описывается эта 
переменная. 


Оптимизирующий Xcode 4.6.3 (ШММ) (Режим Thumb-2) 


Возвращаясь к нашему простому примеру (1.26.1 (стр. 338)), можно посмот- 
реть, как ПММ добавит проверку «канарейки»: 


_та1п 

маг 64 = -0х64 
маг 60 = -0х60 
маг 5С = -0х5С 
маг 58 = -0х58 
уаг 54 = -0х54 
маг 50 = -0х50 
маг 4С = -0х4С 
маг 48 = -0х48 
маг 44 = -0х44 
маг 40 = -0х40 
маг ЗС = -0х3С 
маг 38 = -0х38 
маг 34 = -0х34 


129Thread Local Storage 
130Thread Information Block 
131wikipedia.org/wiki/Win32_Thread_Information_Block 
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маг 30 
уаг_2С 
уаг_28 
уаг_24 
уаг_20 
уаг_1С 
уаг_18 
сапагу 
var_10 


PUSH 
ADD 
STR.W 
SUB 
MOVW 
MOVS 
MOVT.W 
MOVS 
ADD 
LDR.W 
LDR.W 
STR 
MOVS 
STR 


-0x30 
—0х2С 
—0х28 
—0х24 
—0х20 
—0х1С 
—0х18 
—0х14 
—0х10 


{А4-В7 , LR} 
R7, SP, #0xC 


[5Р,#0хС+уаг_10]! 
SP, #0х54 
#a0bjc_methtype ; 


[5Р,#0х64+сапагу] 
#2 
[5Р,#0х64+уаг_64] 
[5Р,#0х64+уаг_60] 
#4 
[5Р,#0х64+уаг_5С] 
#6 
[5Р,#0х64+уаг_58] 
#8 
[5Р,#0х64+уаг_54] 
#0хА 
[5Р,#0х64+уаг_50] 
#0xC 
[5Р,#0х64+уаг_4С] 
#0xE 
[5Р,#0х64+уаг_48] 
#0х10 
[5Р,#0х64+уаг_44] 
#0х12 
[5Р,#0х64+уаг_40] 
#0х14 
[5Р,#0х64+уаг_3С] 
#0х16 
[5Р,#0х64+уаг_38] 
#0х18 
[5Р,#0х64+уаг_34] 
#0х1А 
[5Р,#0х64+уаг_30] 
#0х1С 
[5Р,#0х64+уаг_2С] 
#0х1Е 
[5Р,#0х64+үаг 28] 


"objc теїћ+уре" 
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MOVS RO, #0x20 

STR RO, [SP,#0x64+var_24] 
MOVS RO, #0x22 

STR RO, [SP,#0x64+var 20] 
MOVS RO, #0x24 

STR RO, [SP,#0x64+var_1C] 
MOVS RO, #0x26 

STR RO, [SP,#0x64+var_ 18] 
MOV R4, OxFDA ; "a[%d]=%d\n" 
MOV RO, SP 

ADDS R6, RO, #4 

ADD R4, PC 

B loc_2F1C 


‚ начало второго цикла 


Тос_ 2214 
ADDS RO, R5, #1 
LDR.W R2, [R6,R5,LSL#2] 
MOV R5, RO 
loc_2F1C 
MOV RO, R4 
MOV R1, R5 
BLX _printf 
CMP R5, #0x13 
BNE loc_2F14 
LDR.W RO, [R8] 
LDR R1, [SP,#0x64+canary] 
CMP RO, R1 
ІТТТТ EQ ; канарейка все еще верна? 


MOVEQ RO, #0 

ADDEQ SP, SP, #0x54 

LDREQ.Ww R8, [SP+0x64+var_64],#4 
POPEQ {R4-R7 , PC} 

BLX _ stack_chk_fail 


Во-первых, LLVM «развернул» цикл и все значения записываются в массив по 
одному, уже вычисленные, потому что ШММ посчитал что так будет быстрее. 


Кстати, инструкции режима АВМ позволяют сделать это ещё быстрее и это 
может быть вашим домашним заданием. 


В конце функции мы видим сравнение «канареек» — той что лежит в локаль- 
ном стеке и корректной, на которую ссылается регистр R8. 


Если они равны, срабатывает блок из четырех инструкций при помощи ТТТТТ 
ЕО. Это запись О в RO, эпилог функции и выход из нее. 


Если «канарейки» не равны, блок не срабатывает и происходит переход на 
функцию ѕїаск сһК Ғаі1, которая остановит работу программы. 
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1.26.4. Еще немного о массивах 


Теперь понятно, почему нельзя написать в исходном коде на Си/Си++что-то 
вроде: 


void f(int size) 
{ 

int а[$17е]; 
}; 


Чтобы выделить место под массив в локальном стеке, компилятору нужно знать 
размер массива, чего он на стадии компиляции, разумеется, знать не может. 


Если вам нужен массив произвольной длины, то выделите столько, сколько 
нужно, через та11ос(), а затем обращайтесь к выделенному блоку байт как к 
массиву того типа, который вам нужен. 


Либо используйте возможность стандарта C99 [ISO/IEC 9899:ТСЗ (С C99 <їапаага), 
(2007)6.7.5/2], и внутри это очень похоже на а//оса() (1.9.2 (стр. 48)). 


Для работы в с памятью, можно также воспользоваться библиотекой сборщика 
мусора в Си. 


А для языка Си++ есть библиотеки с поддержкой умных указателей. 


1.26.5. Массив указателей на строки 
Вот пример массива указателей. 


Листинг 1.236: Получить имя месяца 


#include <stdio.h> 


const char» month1[]= 


{ 
"January", "February", "March", "April", 
"May", "June", "July", "August", 
"September", "October", "November", "December" 
}; 


// в пределах 0..11 
const char» деф топіһ1 (int month) 


{ 
}; 


return monthl[month]; 


x64 


Листинг 1.237: Оптимизирующий MSVC 2013 x64 


_DATA SEGMENT 
топїһ1 09 FLAT : $563122 
DQ FLAT : $563123 
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00 
00 
00 
00 
00 
00 
00 
00 
00 
00 
$563122 ОВ 
$563123 DB 
$563124 DB 
$563125 ОВ 
$563126 ОВ 
$563127 ОВ 
$563128 ОВ 
$563129 DB 
$563130 DB 
$563156 ОВ 
$563131 ОВ 
$563132 ОВ 
$563133 ОВ 
_БАТА ENDS 


month$ = 8 
деї топіһ1 PROC 
movsxd 
lea 
mov 
ret 
get_month1 ENDP 


FLAT : $563124 
FLAT : $563125 
FLAT : $563126 
FLAT : $563127 
FLAT : $563128 
FLAT : $563129 
FLAT : $563130 
FLAT : $563131 
FLAT : $563132 
FLAT : $563133 
'January', 00H 
'February', 00Н 


'March', 00Н 
'April', ӨӨН 
'May', ӨӨН 
'June', ӨӨН 
'July', OOH 
'August', ӨӨН 


'September', 00Н 
'%5', Ван, 00Н 
'"Ос+орег', 00Н 
'Мометрег', 00H 
'Рресетрег', ӨӨН 


гах, есх 


rcx, OFFSET FLAT:month1 
rax, QWORD PTR [гсх+гах*8] 


0 


Код очень простой: 


• Первая инструкция MOVSXD копирует 32-битное значение из ECX (где ne- 
редается аргумент month) в ВАХ со знаковым расширением (потому что 


аргумент month имеет тип int). 


Причина расширения в том, что это значение будет использоваться в вы- 


числениях наряду с другими 64-битными значениями. 
Таким образом, оно должно быть расширено до 64-битного 122. 


• Затем адрес таблицы указателей загружается в КСХ. 


• В конце концов, входное значение (month) умножается на 8 и прибавля- 
ется к адресу. Действительно: мы в 64-битной среде и все адреса (или 
указатели) требуют для хранения именно 64 бита (или 8 байт). Следова- 
тельно, каждый элемент таблицы имеет ширину в 8 байт. Вот почему для 


132Это немного странная вещь, но отрицательный индекс массива может быть передан как month 
(отрицательные индексы массивов будут рассмотрены позже: 3.20 (стр. 759)). И если так будет, от- 
рицательное значение типа int будет расширено со знаком корректно и соответствующий элемент 
перед таблицей будет выбран. Всё это не будет корректно работать без знакового расширения. 
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выбора элемента под нужным номером нужно пропустить топіл +8 байт от 
начала. Это то, что делает MOV. Эта инструкция также загружает элемент 
по этому адресу. Для 1, элемент будет указателем на строку, содержащую 
«February», и т. д. 


Оптимизирующий ССС 4.9 может это сделать даже лучше 122: 


Листинг 1.238: Оптимизирующий ССС 4.9 x64 


movsx rdi, edi 
mov rax, QWORD PTR month1[0+rdi*8] 
ret 


32-bit MSVC 


Скомпилируем также в 32-битном компиляторе MSVC: 


Листинг 1.239: Оптимизирующий М5\С 2013 x86 


_month$ = 8 

_get_month1 PROC 
mov eax, DWORD PTR _month$[esp-4] 
mov eax, DWORD PTR топїћ1[еахж4] 
ret 0 


_get_month1 ЕМОР 


Входное значение не нужно расширять до 64-битного значения, так что оно 
используется как есть. 


И оно умножается на 4, потому что элементы таблицы имеют ширину 32 бита 
или 4 байта. 


32-битный АКМ 
АВМ в режиме АВМ 


Листинг 1.240: Оптимизирующий Кей 6/2013 (Режим АВМ) 


get_month1 PROC 


LDR r1, | [0.1600 | 
LDR го, [r1,r0,LSL #2] 
BX lr 
ENDP 
|L0.100]| 
DCD ||.Зажа| | 
DCB "January", 9 
DCB "February", 0 


133B листинге осталось «0+», потому что вывод ассемблера ССС He так скрупулёзен, чтобы убрать 
это. Это displacement и он здесь нулевой. 
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DCB "March", 0 

DCB "Аргі1",0 

DCB "Мау", 0 

DCB "Јипе",0 

DCB "Ји1у",0 

DCB "Аџдиѕї",0 

DCB "September", 0 

DCB "October", 0 

DCB "November", 0 

DCB "Бесетбег" ‚9 

AREA ||.Чафа||, DATA, ALIGN=2 
month1 

DCD conststring| | 

DCD conststring | | +0х8 

рср сопѕіѕігіпо | | +0х11 

рср conststring | | +0х17 

рср сопѕ1ѕ+ігіпо | |+0х1а 

рср conststring | | +0х21 


||. 
||. 
||. 
||. 
||. 
||. 
рср ||. сопѕ+51 гіпо | | +0х26 
||. 
||. 
||. 
||. 
||. 


DCD conststring | |+0x2b 
DCD conststring | | +0х32 
DCD conststring | | +0хЗс 
DCD conststring | | +0х44 
рср conststring | | +0х4а 


Адрес таблицы загружается в В1. 
Всё остальное делается, используя только одну инструкцию LDR. 


Входное значение month сдвигается влево на 2 (что тоже самое что и умноже- 
ние на 4), это значение прибавляется к R1 (где находится адрес таблицы) и 
затем элемент таблицы загружается по этому адресу. 


32-битный элемент таблицы загружается в ВО из таблицы. 


АКМ в режиме ТһитЬ 


Код почти такой же, только менее плотный, потому что здесь, в инструкции 
LDR, нельзя задать суффикс LSL: 


get_month1 PROC 


LSLS го, го, #2 
LDR r1, [10.64] 
LDR го, [г1, го] 
ВХ 1г 

ЕМОР 


АКМ64 


Листинг 1.241: Оптимизирующий ССС 4.9 АВМ64 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


365 


деї топіћ1: 
айгр х1, .LANCHORO 
ааа х1, х1, :1012:.ЕАМСНОВО 
1аг x0, [х1, м0, хм 3] 
гет 
.ГАМСНОВО =. + 0 


‚туре  топїһ1‚ %object 
.Size попЕһ1, 96 


month1: 

.xword .LC2 

.xword .LC3 

.xword .LC4 

.xword .LC5 

.xword .LC6 

.xword .LC7 

.xword .LC8 

.xword .LC9 

.xword .LC10 

.xword .LC11 

.xword .LC12 

.xword .LC13 
.1С2: 

.string "January" 
‚1 СЗ: 

.string "February" 
.LC4: 

.sString "March" 
.LC5: 

.string "April" 
.LC6: 

.5{г1п9 "Мау" 
ЛСТ 

.String "June" 
.LC8: 

„string "July" 
.LC9: 

.String "August" 
.LC10: 

.String "September" 
.LC11: 

.string "October" 
.LC12: 

.string "November" 
„ЕСТ1З: 


.String "December" 


Адрес таблицы загружается B X1 используя napy ADRP/ADD. 


Соответствующий элемент выбирается используя одну инструкцию LDR, KOTO- 
рая берет М0 (регистр, где находится значение входного аргумента month), 
сдвигает его на 3 бита влево (что то же самое что и умножение на 8), расши- 
ряет его, учитывая знак (это то, что означает суффикс «5х м») и прибавляет к 
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хо. 


Затем 64-битное значение загружается из таблицы в ХО. 


MIPS 


Листинг 1.242: Оптимизирующий ССС 4.4.5 (IDA) 


деї топіћ1: 

; загрузить адрес таблицы в $\№0: 
1а $у0, month1 

; взять входное значение и умножить его на 4: 
sll $a0, 2 

; сложить адрес таблицы и умноженное значение: 
addu фаб, $%0 

; загрузить элемент таблицы по этому адресу в $%0: 


1м $\0, 0($а0) 
; возврат 
jr $ra 
or $at, $zero ; branch delay slot, NOP 


.data # .data.rel.local 
.globl month1 


month1: .word aJanuary # "January" 
.word aFebruary # "February" 
.word aMarch # "March" 
.word aApril # "April" 
.word aMay # "May" 
.word ајипе # "June" 
.word aJuly # "July" 
.word aAugust # "August" 
.word aSeptember # "September" 
.word абс+ођег # "October" 
.word aNovember # "November" 
.word aDecember # "December" 


.data # .rodata.str1.4 


aJanuary: „ascii "Јапиагу"<0> 
aFebruary: „ascii "February"<0> 
aMarch: „ascii "Магсһ"<0> 
aApril: .аѕсіі "April"<0> 
aMay: .аѕсіі "Мау"<0> 
ајипе: „ascii "Јипе"<0> 
аиту: „ascii "Ји1у"<0> 
аАидиѕї: „ascii "August"<0> 
aSeptember: „ascii "September "<0> 
a0ctober: „ascii "October"<0> 
aNovember : „ascii "November"<0> 
aDecember : „ascii "December"<0> 
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Переполнение массива 


Наша функция принимает значения в пределах 0..11, но что будет, если будет 
передано 12? 


В таблице в этом месте нет элемента. Так что функция загрузит какое-то зна- 
чение, которое волею случая находится там, и вернет его. 


Позже, какая-то другая функция попытается прочитать текстовую строку по 
этому адресу и, возможно, упадет. 


Скомпилируем этот пример в MSVC для міпб4 и откроем его в IDA чтобы no- 
смотреть, что линкер расположил после таблицы: 


Листинг 1.243: Исполняемый файл в IDA 


off 140011000 дд offset aJanuary 1 ; РАТА XREF: .ехї:0000000140001003 
; "January" 
dq offset аҒергиагу 1 ; "February" 
dq offset аМагсһ 1 ; "March" 
dq offset аАргі1 1 ; "April" 
dq offset аМау 1 ; "Мау" 
dq offset а)ипе_1 ; "June" 
dq offset aJuly_1 „ учту" 
dq offset aAugust_1 ; "August" 
dq offset aSeptember_1 ; "September" 
dq offset a0ctober 1 ; "October" 
dq offset aNovember_1 ; "November" 
dq offset aDecember_1 ; "December" 
aJanuary_1 db '2апиагу',0 ; DATA XREF: sub 140001020+4 
; .data:off_140011000 
aFebruary_1 db 'Ғергиагу',0 ; DATA XREF: .data:0000000140011008 
align 4 
аМагсһ_1 db 'МагсН', 09 ; DATA XREF: .Чафа:0000000140011010 
align 4 
aApril 1 db 'Арг11'‚0 ; DATA XREF: .data:0000000140011018 


Имена месяцев идут сразу после. Наша программа все-таки крошечная, так 
что здесь не так уж много данных (всего лишь названия месяцев) для распо- 
ложения их в сегменте данных. 


Но нужно заметить, что там может быть действительно что угодно, что линкер 
решит там расположить, случайным образом. 


Так что будет если 12 будет передано в функцию? Вернется 13-й элемент таб- 
лицы. Посмотрим, как СРО обходится с байтами как с 64-битным значением: 


Листинг 1.244: Исполняемый файл в IDA 


off 140011000 дд offset дмога 140011060 
; DATA XREF: .ехї:0000000140001003 


dq offset аҒергиагу 1 ; "February" 
dq offset aMarch_1 ; "March" 

dq offset аАрг11_1 ; "April" 

dq offset aMay 1 ; "May" 

dq offset ајипе 1 ; "June" 
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ад offset аји\у 1 ; "July" 
dq offset aAugust_1 ; "August" 
dq offset aSeptember_1 ; "September" 
dq offset a0ctober 1 ; "October" 
dq offset aNovember_1 ; "November" 
dq offset aDecember_1 ; "December" 
qword_140011060 dq 797261756E614Ah ; DATA XREF: sub 140001020+4 
; .data:off_ 140011000 
аҒебгиагу 1 db 'Ғергиагу', 0 ; DATA XREF: . дата: 0000000140011008 
align 4 
аМагсһ 1 db 'Магсһ',0 ; DATA XREF: . дата: 0000000140011010 


И это 0х797261756Е614А. После этого, какая-то другая функция (вероятно, pa- 
ботающая со строками) попытается загружать байты по этому адресу, ожидая 
найти там Си-строку. 


И скорее всего упадет, потому что это значение не выглядит как действитель- 
ный адрес. 


Защита от переполнения массива 


Если какая-нибудь неприятность может 
случиться, она случается 


Закон Мерфи 


Немного наивно ожидать что всякий программист, кто будет использовать ва- 
шу функцию или библиотеку, никогда не передаст аргумент больше 11. 


Существует также хорошая философия «fail early апа fail loudly» или «fail-fast», 
которая учит сообщать об ошибках как можно раньше и останавливаться. 


Один из таких методов в Си/Си++это макрос assert(). 


Мы можем немного изменить нашу программу, чтобы она падала при передаче 
неверного значения: 


Листинг 1.245: аѕѕегі() добавлен 


const char» деф топфИ1 сһескеа (int month) 
{ 
assert (month<12); 
return monthl[month]; 
}; 


Макрос будет проверять на верные значения во время каждого старта функ- 
ции и падать если выражение возвращает false. 


Листинг 1.246: Оптимизирующий М5\С 2013 x64 


$563143 DB 'm', ӨӨН, 'o', ӨӨН, 'n', ӨӨН, 't', ӨӨН, 'h', ӨӨН, '.', OOH 
рв 'c', бон, ӨӨН, ӨӨН 

$563144 DB 'm', ӨӨН, 'о', ӨӨН, 'п', ӨӨН, 't', ӨӨН, 'h', ӨӨН, '<', OOH 
рв '1', ӨӨН, '2', ӨӨН, оон, оон 
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month$ = 48 
деї топіһ1 сһескеа PROC 
$LN5: 
push rbx 
sub rsp, 32 
movsxd rbx, ecx 
cmp ebx, 12 
jl SHORT $LN3@get_month1 
lea rdx, OFFSET РЁЕАТ:$563143 
lea rcx, OFFSET РЁАТ: $563144 
mov r8d, 29 
call _wassert 
$LN3@get_month1: 
lea rcx, OFFSET FLAT:month1 
mov rax, QWORD PTR [rcx+rbx*8] 
add rsp, 32 
pop rbx 
ret 0 


деї топіћ1 сһескеа ЕМОР 


На самом деле, аѕѕег{() это не функция, а макрос. Он проверяет условие и ne- 
редает также номер строки и название файла в другую функцию, которая по- 
кажет эту информацию пользователю. 


Мы видим, что здесь и имя файла и выражение закодировано в ОТЕ-16. 
Номер строки также передается (это 29). 
Этот механизм, пожалуй, одинаковый во всех компиляторах. 


Вот что делает ССС: 


Листинг 1.247: Оптимизирующий ССС 4.9 x64 


ЕСТ: 

.String "month.c" 
.LC2: 

„string "month<12" 


get_month1_checked: 


cmp edi, 11 
jg ‚16 
movsx rdi, edi 
mov rax, QWORD PTR month1[0+rdi*8] 
ret 
‚16: 
push rax 
mov ecx, OFFSET FLAT: PRETTY FUNCTION _.2423 
mov edx, 29 
mov esi, OFFSET FLAT:.LC1 
mov edi, OFFSET FLAT: .LC2 
call _ assert_fail 


_ PRETTY_FUNCTION__.2423: 
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.String "де топЕһ1 сһескеа" 


Так что макрос в ССС также передает и имя функции, для удобства. 
Ничего не бывает бесплатным и проверки на корректность тоже. 


Это может замедлить работу вашей программы, особенно если макрос аѕѕегї() 
используется в маленькой критичной ко времени функции. 


Так что, например, MSVC оставляет проверки в отладочных сборках, но в окон- 
чательных сборках они исчезают. 


Ядра Microsoft Windows МТ также идут в виде сборок «checked» и «free» 134. В 
первых есть проверки на корректность аргументов (отсюда «сһескед»), а во 
вторых — нет (отсюда «free», т.е. «свободные» от проверок). 


Разумеется, «сһескеа»-ядро работает медленнее из-за всех этих проверок, по- 
этому его обычно используют только на время отладки драйверов, либо самого 
ядра. 


Доступ к определенному символу 


К массиву указателей на строки можно обращаться так: 


#include <stdio.h> 


const char» month[]= 


{ 
"January", "February", "March", "April", 
"May", "June", "July", "August", 
"September", "October", "November", "December" 
}; 
int main() 
{ 
// 4-й месяц, 5-й символ: 
printf ("%с\п", топ [31[4]); 
$; 


так как, выражение month[3] имеет тип const сһаг*. И затем, 5-й символ 6e- 
рется из этого выражения прибавлением 4-х байт к его адресу. 


Кстати, список аргументов передаваемый в ф-цию таі/п() имеет такой же тип: 


#include <stdio.h> 


int main(int argc, char жагду[]) 


{ 
}; 


printf ("3-й аргумент, 2-й символ: %с\п", argv[3][1]); 


134msdn.microsoft.com/en-us/library/windows/hardware/ff543450(v=vs.85).aspx 
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Очень важно понимать, что не смотря на одинаковый синтаксис, всё это отли- 
чается от двухмерных массивов, которые мы будем рассматривать позже. 


Еще одна важная вещь, которую нужно отметить: адресуемые строки должны 
быть закодированы в системе, в которой каждый символ занимает один байт, 
как АСЗ и расширенная ASCII. UTF-8 здесь не будет работать. 


1.26.6. Многомерные массивы 


Внутри многомерный массив выглядит так же как и линейный. 


Ведь память компьютера линейная, это одномерный массив. Но для удобства 
этот одномерный массив легко представить как многомерный. 


К примеру, вот как элементы массива 3х4 расположены в одномерном массиве 
из 12 ячеек: 


Смещение в памяти | элемент массива 


ыы о чи A у NI ej oO 


0 
1 


Таблица 1.3: Двухмерный массив представляется в памяти как одномерный 


Вот по каким адресам в памяти располагается каждая ячейка двухмерного 
массива 3*4: 


0|1|2 3 
41516 7 
89 10 11 


Таблица 1.4: Адреса в памяти каждой ячейки двухмерного массива 


Чтобы вычислить адрес нужного элемента, сначала умножаем первый индекс 
(строку) на 4 (ширину массива), затем прибавляем второй индекс (столбец). 


Это называется гои/-та/ог order, и такой способ представления массивов и мат- 
риц используется по крайней мере в Си/Си-+ +и Python. Термин гои/-та/ог order 


135 дгпегісап Standard Code for Information Interchange 
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означает по-русски примерно следующее: «сначала записываем элементы пер- 
вой строки, затем второй, ... И элементы последней строки в самом конце». 


Другой способ представления называется со/итп-тајог order (индексы масси- 
ва используются в обратном порядке) и это используется по крайней мере в 
Фортране, MATLAB и В. Термин со/итп-тајог order означает по-русски следую- 
щее: «сначала записываем элементы первого столбца, затем второго, ... и эле- 
менты последнего столбца в самом конце». 


Какой из способов лучше? В терминах производительности и кэш-памяти, луч- 
ший метод организации данных это тот, при котором к данным обращаются 
последовательно. 


Так что если ваша функция обращается к данным построчно, то гом/-та/ог order 
лучше, и наоборот. 


Пример с двумерным массивов 


Мы будем работать с массивом типа char. Это значит, что каждый элемент 
требует только одного байта в памяти. 


Пример с заполнением строки 


Заполняем вторую строку значениями 0..3: 


Листинг 1.248: Пример с заполнением строки 


#include <stdio.h> 


char а[3] [4]; 
int main() 
{ 
int x, y; 


// очистить массив 
for (х=0; х<3; X++) 
for (у=0; у<4; у++) 
a[x][y]=0; 


// заполнить вторую строку значениями 0..3: 
Тог (у=0; у<4; у++) 
а[1][у]=у; 
$; 


Все три строки обведены красным. Видно, что во второй теперь имеются байты 
0,1, 2и 3: 
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Hk 


Рис. 1.92: OllyDbg: массив заполнен 


Пример с заполнением столбца 


Заполняем третий столбец значениями 0..2: 


Листинг 1.249: Пример с заполнением столбца 


#include <stdio.h> 
char a[3][4]; 


int main() 


{ 


int x, у; 


// очистить массив 
for (х=0; х<3; х++) 
Ғог (у=0; у<4; у++) 
а[х][у]=0; 


// заполнить третий столбец значениями 0..2: 
for (х=0; х<3; х++) 
а[х][2]=х; 
}; 


Здесь также обведены красным три строки. Видно, что в каждой строке, на 
третьей позиции, теперь записаны 0, 1и 2. 


ай йй йй ва Ва ва а 
ай ав ва ва ва вв а 


Рис. 1.93: OllyDbg: массив заполнен 


Работа с двухмерным массивом как с одномерным 


Мы можем легко убедиться, что можно работать с двухмерным массивом как 
с одномерным, используя по крайней мере два метода: 


#include <stdio.h> 
char а[3][4]; 


char дет Бу _coordinates1 (char array[3][4], int a, int b) 


{ 
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return аггау[а] [6]; 


}; 

char get_by_coordinates2 (char жаггау, int a, int b) 

{ 
// обращаться с входным массивом как с одномерным 
// 4 здесь это ширина массива 
return аггау[аж4+6]; 

}; 


char дет бу соогӢіпа+еѕ3 (char жаггау, int а, int b) 


// обращаться с входным массивом как с указателем, 
// вычислить адрес, получить значение оттуда 

// 4 здесь это ширина массива 

return ж(аггау+аж4+0) ; 


}; 
int таіп() 
{ 
а[2]13]1=123; 
printf ("%0\п", деф Бу соога1па*е$1(а, 2, 3)); 
printf ("%Аа\п", деф Бу соога1па*е$2 (а, 2, 3)); 
printf ("%Аа\п", деф ру соога1па*е$3 (а, 2, 3)); 
$; 


Компилируете136 и запускаете: мы увидим корректные значения. 


Очарователен результат работы MSVC 2013 — все три процедуры одинаковые! 


Листинг 1.250: Оптимизирующий М5\С 2013 x64 


аггау$ = 8 
а$ = 16 
b$ = 24 


деї Бу соогӣіпа+еѕ3 PROC 
; КСХ=адрес массива 
; RDX=a 
; R8=b 
movsxd гах, г8а 
; ЕАХ=Ь 
movsxd r9, edx 
; R9=a 
add rax, rcx 
; ВААХ=р+адрес массива 
тоу2х eax, BYTE РТВ [гах+г9ж4] 
; А =загрузить байт по адресу КАХ+К9*4=р+адрес массива+а*4=адрес 


массива+а*4+р 
ret 0 


деї Бу соогӣіпа+еѕ3 ЕМОР 


аггау$ = 8 


136Эта программа именно для Си а не Си++, компилируя в MSVC нужно сохранить файл с расши- 
рением .с 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


375 


а$ = 16 

b$ = 24 

деї Бу соогӣіпа+еѕ52 PROC 
movsxd гах, г8а 
movsxd r9, edx 


add rax, rcx 
тоу2х eax, BYTE РТВ [rax+r9*4] 
ret 0 


деї Бу coordinates2 ЕМОР 


аггау$ = 8 
а$ = 16 
b$ = 24 


деї Бу соогаіпа+еѕ1 PROC 
movsxd гах, г8а 
movsxd r9, едх 


add rax, rcx 
тоу2х eax, BYTE РТВ [rax+r9*4] 
ret 0 


деї Бу соогӣіпа+еѕ1 ЕМОР 


ССС сгенерировал практически одинаковые процедуры: 


Листинг 1.251: Оптимизирующий ССС 4.9 x64 


; КОТ=адрес массива 
; RSI=a 
; КОХ=Ь 


деї Бу соога1па*е$1: 
; расширить входные 32-битные значения "а" и "b" до 64-битных 
movsx rsi, esi 
movsx rdx, edx 
lea rax, [rdi+rsi*4] 
; КАХ=КОТ+В$Т*4=адрес массива+а*4 
тоу2х еах, ВҮТЕ РТК [гах+гах] 
; А =загрузить байт по адресу КАХ+ВОХ=адрес массива+а*4+0 
геї 


деї Бу coordinates2: 


1еа eax, [гах+г<1*4] 
; RAX=RDX+RSI*4=b+a*4 
саде 


ПОМ2Х eax, BYTE РТВ [гаі+гах] 
; А =загрузить байт по адресу КОТ+ВАХ=адрес массива+р+а*4 
геї 


деї Бу соога1па*е$3: 
sal esi, 2 
; ESI=a<<2=a*4 
; расширить входные 32-битные значения "а*4" и "Б" до 64-битных 
movsx rdx, edx 
movsx rsi, esi 
add rdi, rsi 
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; RDI=RDI+RSI=agpec массива+а*4 
тоу2х еах, ВУТЕ РТВ [га1+гах] 

; Аі=загрузить байт по адресу ВОТ+ВОХ=адрес массива+а*4-+Ь 
геї 


Пример с трехмерным массивом 


То же самое и для многомерных массивов. На этот раз будем работать с мас- 
сивом типа int: каждый элемент требует 4 байта в памяти. 


Попробуем: 


Листинг 1.252: простой пример 


#include <stdio.h> 
int а[10] [20] [30]; 


void іпѕегї (іпі х, int у, int z, int value) 


{ 
}; 


а[х] [у] [2]=\а\ие; 


х86 


В итоге (MSVC 2010): 
Листинг 1.253: М$\УС 2010 


_ОАТА SEGMENT 

COMM _a:DWORD : 01770Н 
_ОАТА ENDS 

PUBLIC іпѕег+ 

_TEXT SEGMENT 


_х$ = 8 ; 51е = 4 
_у$ = 12 ; 51е = 4 
_2$ = 16 ; 5іғе = 4 
_ма\че$ = 20 ; 512е = 4 
_insert PROC 
push ebp 
mov ebp, esp 
mov eax, DWORD PTR _x$[ebp] 
imul eax, 2400 ; еах=600*4*х 
mov ecx, DWORD PTR _y$[ebp] 
imul ecx, 120 ; ecx=30*4*y 
lea edx, DWORD PTR _а[еах+есх] ; edx=a + 600*4*х + 30*4*y 


mov eax, DWORD PTR _z$[ebp] 
mov ecx, DWORD PTR _value$[ebp] 


mov DWORD PTR [еах+еахж4], ecx ; *(ейх+2*4)=значение 
pop ebp 
ret 0 


_insert ENDP 
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_ТЕХТ ENDS 


В принципе, ничего удивительного. B insert() для вычисления адреса нуж- 
ного элемента массива три входных аргумента перемножаются по формуле 
address = 600.4.х-+30.4.у-+ 42, чтобы представить массив трехмерным. Не 3a- 
бывайте также, что тип int 32-битный (4 байта), поэтому все коэффициенты 
нужно умножить на 4. 


Листинг 1.254: ССС 4.4.1 


public insert 
insert proc near 


х = амога ptr 8 
у = амога ptr 0Сһ 
2 = мога ріг 10h 
value = dword ptr 14h 
push ebp 
mov ebp, esp 
push ebx 
mov ebx, [ebp+x] 
mov eax, [ebp+y] 
mov ecx, [ebp+z] 
lea edx, [eax+eax] ; edx=y*2 
mov eax, edx ; еах=у*2 
shl eax, 4 ; еах=(у*2)<<4 = y*2*16 = y*32 
sub eax, edx ; еах=у*32 - у*2=у*30 
imul edx, ebx, 600 ; edx=x*600 
add eax, edx ; eax=eax+edx=y*30 + x*600 
lea edx, [eax+ecx] ; edx=y*30 + x*600 + z 
mov eax, [ebp+value] 
mov dword ptr ds:a[edx*4], eax ; *(а+едх*4)=значение 
pop ebx 
pop ebp 
retn 


insert endp 


Компилятор GCC решил всё сделать немного иначе. Для вычисления одной из 
операций (30у), ССС создал код, где нет самой операции умножения. 


Происходит это так: (y +y) <4- (у +y) = (2y) « 4- 2y = 2- 16 - y - 2y = 32y – 2y = 30y. 
Таким образом, для вычисления 30y используется только операция сложения, 
операция битового сдвига и операция вычитания. Это работает быстрее. 


ARM + Неоптимизирующий Xcode 4.6.3 (ММ) (Режим Thumb) 


Листинг 1.255: Неоптимизирующий Xcode 4.6.3 (И ММ) (Режим Thumb) 


_іпѕегї 


value = -0x10 
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2 
y 
x 


-0хС 
-8 
-4 


; выделить место в локальном стеке для 4 переменных типа int 
SUB SP, SP, #0x10 


MOV R9, OxFC2 ; а 

ADD R9, PC 

LDR.W R9, [R9] ; получить указатель на массив 
STR RO, [SP,#0x10+x] 

STR R1, [SP,#0x10+y] 

STR R2, [SP,#0x10+z] 

STR R3, [SP,#0x10+value] 

LDR RO, [SP,#0x10+value] 

LDR R1, [SP,#0x10+z] 

LDR R2, [SP,#0x10+y] 

LDR R3, [SP,#0x10+x] 

MOV R12, 2400 

MUL.Ww ВЗ, ВЗ, R12 

ADD R3, R9 

MOV R9, 120 

MUL.Ww R2, R2, R9 

ADD R2, R3 

LSLS R1, R1, #2 ; R1=R1<<2 

ADD R1, R2 

STR RO, [R1] ; R1 - адрес элемента массива 


; освободить блок в локальном стеке, выделенное для 4 переменных 
ADD SP, SP, #0x10 
BX LR 


Неоптимизирующий LLVM сохраняет все переменные в локальном стеке, хотя 
это и избыточно. 
Адрес элемента массива вычисляется по уже рассмотренной формуле. 


АКМ + Оптимизирующий Xcode 4.6.3 (ШУМ) (Режим Thumb) 


Листинг 1.256: Оптимизирующий Xcode 4.6.3 (И ММ) (Режим Thumb) 


_insert 

MOVW R9, #0x10FC 

МОМ.М R12, #2400 

MOVT.w ВО, #0 

АЅВ.М R1, R1, R1,LSL#4 ; R1 - y. Rl=y<<4 - у = у*16 - у = y*15 

ADD R9, PC 

LDR.W R9, [R9] ; R9 = указатель на массив 

МІА.М ВО, RO, R12, R9 ; RO - x, R12 - 2400, R9 - указатель на а. 
В0=х*2400 + указатель на а 

Арр.м RO, КО, R1,LSL#3 ; RO 
+ у*15*8 = 


В0+В1<<3 = К0+КВ1*8 = х*2400 + указатель на а 


; указатель на а + у*30*4 + х*600*4 
ТА, М АЗ, [RO,R2,LSL#2] ; R2 - z, R3 - значение. адрес=В0+2*4 = 
; указатель на а + у*30*4 + х*600*4 + z*4 
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ВХ ЕВ 


Тут используются уже описанные трюки для замены умножения на операции 
сдвига, сложения и вычитания. 


Также мы видим новую для себя инструкцию RSB (Reverse Subtract). Она рабо- 
тает так же, как и SUB, только меняет операнды местами. 


Зачем? SUB и RSB это те инструкции, ко второму операнду которых можно Npn- 
менить коэффициент сдвига, как мы видим и здесь: (1514). Но этот коэффи- 
циент можно применить только ко второму операнду. 


Для коммутативных операций, таких как сложение или умножение, операнды 
можно менять местами и это не влияет на результат. 


Но вычитание — операция некоммутативная, так что для этих случаев суще- 
ствует инструкция RSB. 


MIPS 


Мой пример такой крошечный, что компилятор ССС решил разместить массив 
ав 64К!В-области, адресуемой при помощи Global Pointer. 


Листинг 1.257: Оптимизирующий ССС 4.4.5 (IDA) 


іпѕегі: 
; Ффаб=х 
; $а1=у 
; фа2=7 
; фаЗ=значение 
sll $v0, $a0, 5 
; $0 = $a0<<5 = x*32 
sll $a0, 3 
; $a0 = $a0<<3 = x*8 
addu фаб, $%0 
; $а0 = $a0+$v0 = х*8+х*32 = х*40 
sll $v1, $al, 5 
; $v1 = $а1<<5 = y*32 
sll $\0, $a0, 4 
; $v0 = $a0<<4 = x*40*16 = x*640 
sll $al, 1 
; $al = $а1<<1 = y*2 
subu $al, $v1, $al 
; $al = $у1-$а1 = y*32-y*2 = y*30 
subu фаб, $v0, $a0 
; $a0 = $v0-$a0 = x*640-x*40 = x*600 
la $gp, _ gnu local ор 
addu $a0, $al, $a0 
; $a0 = $al+$a0 = y*30+x*600 


addu $a0, $a2 
; $a0 = $a0+$a2 = у*30+х*600+2 
; загрузить адрес таблицы: 
1м $0, (а & ӨхҒЕЕҒЕ) ($ор) 
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; умножить индекс на 4 для поиска элемента таблицы: 
sll $a0, 2 

; сложить умноженный индекс и адрес таблицы: 
addu $a0, $v0, $a0 

‚ записать значение B таблицу и вернуть управление: 
jr $ra 
Sw $a3, 0($а0) 


.comm a:0x1770 


Узнать размеры многомерного массива 


Если в ф-цию обработки строки передать массив символов, внутри самой ф- 
ции невозможно определить размер входного массива. Точно также, в ф-ции, 
обрабатывающую двухмерный массив, только один размер может быть опре- 
делен. 


Например: 
int get_element(int аггау [10] [20], int х, int у) 
{ 
return аггау[х] [у]; 
}; 
int маіп() 
{ 
int аггау[10] [20]; 
деї е1етепї (array, 4, 5); 
}; 


... если это скомпилировать (любым компилятором) и затем декомпилировать 
в Нех-Вауз: 


int get_element(int жаггау, int х, int у) 


{ 
} 


return array[20 * x + у]; 


Нет никакого способа узнать размер первого измерения. Если переданное 3Ha- 
чение z слишком большое, произойдет переполнение буфера, и прочитается 
элемент из какого-то случайного места в памяти. 


И трехмерный массив: 


int get_element(int аггау [10] [20] [30], int х, int у, int z) 
{ 


}; 


return аггау[х] [у] [7]; 


int main() 


{ 
int array[10] [20] [30]; 
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деї е1етепї (array, 4, 5, 6); 


}; 
Нех-Вауѕ: 
int деї е1етепї (іп жаггау, int х, int у, int z) 
{ 
return аггау[600 ж х + z + 30 ж у]; 
} 


И снова, можно узнать размеры только двух измерений из трех. 


Ещё примеры 


Компьютерный экран представляет собой двумерный массив, но видеобуфер 
это линейный одномерный массив. Мы рассматриваем это здесь: 8.13.2 (стр. 1148). 


Еще один пример в этой книге это игра “Сапер”: её поле это тоже двухмерный 
массив: 8.4 (стр. 1029). 


1.26.7. Набор строк как двухмерный массив 


Снова вернемся к примеру, который возвращает название месяца: листинг.1.236. 
Как видно, нужна как минимум одна операция загрузки из памяти для подго- 
товки указателя на строку, состоящую из имени месяца. 


Возможно ли избавиться от операции загрузки из памяти? 


Да, если представить список строк как двумерный массив: 


#include <stdio.h> 

#include <assert.h> 

const char month2[12][10]= 

{ 
{ 'Ј', та", '‘п','и', 'а','г','у', 0, 0, Ө}, 
{ 'ЕК','е','Ь','г','и','а','г','у', 0, 0}, 
{ 'M','a','r','c','h', 0, 0, 0, 0, 0}, 
{ 'A','p','r','i','U', 0, 0, 0, 0 0}, 
{ 'M','a','y', 0, 0, 0, 0, 0, 0, 0}, 
{ 'J','u','n','e', 0, 0, 0, 0, 0, 0}, 
{ '','и','1','у', 0, 0, 0, 0 0, O}, 
{ 'A','u','g','u','s','t', 0, 0, 0, 0}, 
{ 'S','e','p','t','e','m','b','e','r', 0}, 
{ '0','c','t','o','b','e','r', 0, 0, 0}, 
{ 'N','o','v','e','m','b','e','r', 0, 0}, 
{ '0','е','с','е','т','Б','е','г', 0, 0} 

}; 

// в пределах 0..11 

const char» деф топіһ2 (int month) 

{ 
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return &month2[month] [0]; 
}; 


Вот что получаем: 


Листинг 1.258: Оптимизирующий MSVC 2013 x64 


month2 DB 04aH 
DB 061Н 
рв Обен 
рв 075Н 
рв 061Н 
рв 072Н 
рв 079Н 
рв 00H 
DB 00H 
DB вон 


get_month2 PROC 
; расширить входное значение до 64-битного, учитывая знак 
movsxd гах, ecx 
lea rcx, QWORD PTR [rax+rax*4] 
; КСХ=месяц-+месяц*4=месяц*5 
Теа гах, OFFSET FLAT:month2 
; КАХ=указатель на таблицу 
lea rax, QWORD PTR [гах+гсх*2] 
; КАХ=указатель на таблицу + ВСХ*2=указатель на таблицу + месяц*5*2=указатель 
на таблицу + месяц*10 
геї 0 
деї топіћ2 ЕМОР 


Здесь нет обращений к памяти вообще. Эта функция только вычисляет место, 
где находится первый символ названия месяца: 


pointer_to_the_table+month»+10. Там также две инструкции LEA, которые работают 
как несколько инструкций MUL и MOV. 


Ширина массива — 10 байт. Действительно, самая длинная строка это «September» 
(9 байт) плюс оконечивающий ноль, получается 10 байт. 


Остальные названия месяцев дополнены нулевыми байтами, чтобы они зани- 
мали столько же места (10 байт). 


Таким образом, наша функция и работает быстрее, потому что все строки на- 
чинаются с тех адресов, которые легко вычислить. 


Оптимизирующий ССС 4.9 может ещё короче: 


Листинг 1.259: Оптимизирующий ССС 4.9 x64 


movsx rdi, edi 


lea rax, [rdi+rdi*4] 
lea rax, month2[rax+rax] 
ret 
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LEA здесь также используется для умножения на 10. 


Неоптимизирующие компиляторы делают умножение по-разному. 


Листинг 1.260: Неоптимизирующий ССС 4.9 х64 


get_month2: 
push rbp 
mov rbp, rsp 
mov DWORD PTR [rbp-4], edi 
mov eax, DWORD PTR [rbp-4] 


ПОМ5Х гах, еах 
; КОХ = входное значение, расширенное учитывая знак 


тоу гах, гах 
; ВАХ = месяц 
sal rax, 2 
; ВАХ = месяц<<2 = месяц*4 
ааа гах, гах 
; RAX = КАХ+АОХ = месяц*4+месяц = месяц*5 
ааа гах, гах 
; ВАХ = ВАХ*2 = месяц*5*2 = месяц*10 
ааа гах, OFFSET FLAT:month2 
; RAX = месяц*10 + указатель на таблицу 
рор rbp 
ret 


Неоптимизирующий MSVC просто использует инструкцию IMUL: 


Листинг 1.261: Неоптимизирующий М5\С 2013 x64 


month$ = 8 
get_month2 PROC 
mov DWORD PTR [rsp+8], ecx 


movsxd rax, DWORD PTR month$[rsp] 
; RAX = расширенное до 64-битного входное значение, учитывая знак 


imul rax, rax, 10 
; RAX = RAX*10 
lea rcx, OFFSET FLAT:month2 
; RCX = указатель на таблицу 
ааа гсх, гах 
; RCX = ВСХ+ВАХ = указатель на таблицу+топїһ*10 
тоу гах, гсх 
; RAX = указатель Ha таблицу+месяц*10 
mov ecx, 1 
; RCX = 1 
imul rcx, rcx, 0 
; RCX = 1*0 = 0 
add rax, rcx 
; RAX = указатель Ha таблицу+месяц*10 + 0 = указатель Ha таблицу+месяцж10 
ret 0 


деї топіћ2 ЕМОР 


Но вот что странно: зачем добавлять умножение на ноль и добавлять ноль к 
конечному результату? 
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Это выглядит как странность кодегенератора компилятора, который не был 
покрыт тестами компилятора. Но так или иначе, итоговый код работает кор- 
ректно. Мы сознательно рассматриваем такие фрагменты кода, чтобы чита- 
тель понимал, что иногда не нужно ломать себе голову над подобными арте- 
фактами компиляторов. 


32-bit АКМ 


Оптимизирующий Keil для режима Thumb использует инструкцию умножения 
MULS: 


Листинг 1.262: Оптимизирующий Keil 6/2013 (Режим Thumb) 


; RO = месяц 
MOVS r1,#0xa 
; №1 = 10 
MULS го, г1, го 
; RO = R1*RO = 10*месяц 
LDR r1, |L0.68| 
; А1 = указатель на таблицу 
ADDS го, го, г1 
; RO = RO+R1 = 10*месяц + указатель на таблицу 
ВХ tr 


Оптимизирующий Keil для режима ARM использует операции сложения и сдви- 
га: 


Листинг 1.263: Оптимизирующий Кей 6/2013 (Режим АВМ) 


; КО = месяц 

LDR r1, | [0.104 | 
; R1 = указатель на таблицу 

АБО го, го, го,151 #2 
; RO = RO+RO<<2 = RO+R0O*4 = месяц*5 

ADD r0,r1,rO,LSL #1 
; RO = В1+А0<<2 = указатель на таблицу + месяц*5*2 = указатель на таблицу + 

месяцж10 

ВХ 1г 

ARM64 
Листинг 1.264: Оптимизирующий GCC 4.9 ARM64 

; № = месяц 

sxtw x0, м0 


; XO = расширить входное значение учитывая знак 
айгр х1, .LANCHOR1 


ааа х1, х1, :1012:.ЕАМСНОВ1 
; Х1 = указатель на таблицу 
ааа x0, х0, х0, 151 2 
; ХӨ = Х0+Х0<<2 = Х0+Х0*4 = Х0*5 
ааа x0, х1, х0, 151 1 
; ХӨ = Х1+Х0<<1 = Х1+Х0*2 = указатель на таблицу + Х0*10 
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геї 


ЅХТМ используется для знакового расширения и расширения входного 32-битного 
значения в 64-битное и сохранения его в ХО. 


Пара АОВР/АОВ используется для загрузки адреса таблицы. 


У инструкции ADD также есть суффикс LSL, что помогает с умножением. 


MIPS 
Листинг 1.265: Оптимизирующий GCC 4.4.5 (IDA) 
.globl get_month2 
get_month2: 
; $a0=Īmecaų 


sll $v0, $a0, З 
; $v0 = $a0<<3 = месяц*8 

sll $a0, 1 
; $а0 = $а0<<1 = месяц*2 

addu фаб, $v0 
; $a0 = месяц*2+месяц*8 = месяц*10 
; загрузить адрес таблицы: 


1а фу0, month2 
; сложить адрес таблицы и вычисленный индекс и вернуть управление: 
jr $ra 


addu $v0, $а0 


month2: „ascii "Јапиагу"<0> 
.byte 0, 0 
аҒеђгиагу : „ascii "Ребгиагу"<0> 
. byte 0 
аМагсһ: „ascii "Магсһ"<0> 
.Буте 0, 0, 0, 0 
аАрг11: .аѕсіі "Арг11"<0> 
.Буте 0, 0, 0, O 
аМау: „ascii "Мау"<0> 
‚буте 0, 0, 0, 0, 0, © 
ајЈипе: „ascii "Јипе"<0> 
‚буте 0, 0, 0, 0, O 
аиту: .аѕсіі "Ји1у"<0> 
‚буте 0, 0, 0, 0, 0 
аАидиѕї: .аѕсіі "August"<0> 
.Буте 0, 0, 0 
aSeptember: .аѕсіі "September"<0> 
a0ctober: „ascii "October"<0> 
.byte 0, 0 
aNovember: „ascii "November"<0> 
. byte 0 
аресетђег: .аѕсіі "Рресетрег"<0> 


.буїе 0, 0, 0, 0, 0, 0, 0, 0, O 
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Вывод 


Это немного олд-скульная техника для хранения текстовых строк. Много тако- 
го можно найти в Oracle RDBMS, например. Трудно сказать, стоит ли оно того 
на современных компьютерах. Так или иначе, это был хороший пример масси- 
вов, поэтому он был добавлен в эту книгу. 


1.26.8. Вывод 


Массив это просто набор значений в памяти, расположенных рядом друг с Apy- 
гом. 


Это справедливо для любых типов элементов, включая структуры. 
Доступ к определенному элементу массива это просто вычисление его адреса. 


Итак, указатель на массив и адрес первого элемента — это одно и то же. Вот 
почему выражения рїг[0] и *ptr в Си/Си+ +равноценны. Любопытно что Hex- 
Rays часто заменяет первое вторым. Он делает это в тех случаях, когда не 
знает, что имеет дело с указателем на целый массив, и думает, что это указа- 
тель только на одну переменную. 


1.26.9. Упражнения 


e Пр: //сһа11епдеѕ. ге/62 
һїїр://сһа11епде<.ге/63 
http://challenges.re/64 
http://challenges.re/65 
http://challenges.re/66 


1.27. Пример: ошибка в Angband 


В сравнительно древней годие-ііке игре 90-х 137 была ошибка в духе “Пикника 
на обочине” Стругацких или сериала “Потерянная комната”138; 


Версия їгод-кпомѕ изобиловала ошибками. Самая смешная из 
них повлекла хитрую технику обмана игры, которую назвали 
”mushroom farming” - разведение грибов. Если в лабиринте oka- 
зывалось больше определенного числа (около пятисот) предме- 
тов, игра ломалась, и старые предметы помногу превращались в 
предметы, брошенные на пол. Соответственно, игрок шел в ла- 
биринт, делал там такие продольные канавки (специальным за- 
клинанием), и ходил вдоль канавок, создавая грибы еще другим 


137144 р$: //еп.мікіредіа.огод/мікі/Апорапа (уійео дате), http://rephial.org/ 
138 рр: //агсһіме. іѕ/оІдуі 
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специальным заклинанием. Когда грибов было достаточно много, 
гражданин клал и брал, клал и брал какой-нибудь полезный пред- 
мет, и грибы один за другим превращались в этот предмет. После 
этого игрок возвращался с сотнями копий полезного предмета. 


( Миша “tiphareth” Вербицкий, http://imperium. lenin. ги/СЕВЕР/агс/3/1191{ти$1с/ 
light.htm ) 


Еще из изепет-а: 


From: be. ..@uswest.com (George Bell) 
Subject: [Angband] Multiple artifact copies found (bug?) 
Date: Fri, 23 Jul 1993 15:55:08 GMT 


Up to 2000 ft I found only 4 artifacts, now my house is littered with the 

suckers (FYI, most I've gotten from killing nasties, like Dracoliches and 2 
S the 

like). Something really weird is happening now, as I found multiple 

copies of the same artifact! My half-elf ranger is down at 2400 ft on one 

level which is particularly nasty. There is a graveyard plus monsters 

surrounded by permanent rock and 2 or 3 other special monster rooms! I did 

so much slashing with my favorite weapon, Crisdurian, that I filled several 

rooms nearly to the brim with treasure (as usual, mostly junk). 


Then, when I found a way into the big vault, I noticed some of the treasure 

had already been identified (in fact it looked strangely familiar!). Then 2 
4I 

found жїмож Short Swords named Sting (1d6) (+7,+8), апа I just ran across а 

third copy! I have seen multiple copies of Gurthang on this level as well. 

Is there some limit on the number of items per level which I have exceeded? 

This sounds reasonable as all multiple copies I have seen come from this / 
S level. 


I'm playing PC angband. Anybody else had this problem? 
-George Bell 
Help! I need a Rod of Restore Life Levels, if there is such a thing. 2 


S These 
Graveyards are nasty (Black Reavers and some speed 2 wraith in particular). 


(https://groups.google.com/forum/#!original/rec.games.moria/jItmfrdGyL8/ 
8csctQqA7PQJ ) 


From: Ceri <cm. ..@andrew. cmu. edu> 
Subject: Re: [Angband] Multiple artifact copies found (bug?) 
Date: Fri, 23 Jul 1993 23:32:20 -0400 


welcome to the mush bug. if there are more than 256 items 
on the floor, things start duplicating. learn to harness 
this power and you will win shortly :> 
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--Віск 


( google groups ) 


From: пме. . .@ѕода.бегке\1еу.еди (Nicholas С. Weaver) 
Subject: Ве: [Angband] Multiple artifact copies found (bug?) 
Date: 24 Jul 1993 18:18:05 GMT 


In article <74348474...@unixl.andrew.cmu.edu> Ceri <cm. ..@andrew.cmu.edu> 2 
S writes: 

>welcome to the mush bug. if there are more than 256 items 

>on the floor, things start duplicating. learn to harness 

>this power and you will win shortly :> 

> 

>——-Rick 


QUestion on this. Is it only the first 256 items which get 
duplicated? What about the original items? Etc ETc ETc... 


Оһ, for those who like to know about bugs, though, the -n option 
(start new character) has the following behavior: 


(this is in version 2.4.Frog.knows on unix) 
If you hit controll-p, you keep your old stats. 
YOu loose all record of artifacts founds and named monsters killed. 


YOu loose all items you are carrying (they get turned into error in 
objid()s ). 


You loose your gold. 
You KEEP all the stuff in your house. 


If you kill something, and then quaff a potion of restore life 
levels, уои are back up to where you were before in EXPERIENCE POINTS! ! 


Gaining spells will not work right after this, unless you have a 
gain int item (for spellcasters) or gain wis item (for priests/palidans), / 
$ in 
which case after performing the above, then take the item back on and off, 
you will be able to learn spells normally again. 


This can be exploited, if you аге a REAL HOZER (like me), into 
getting multiple artifacts early on. Just get to a level where you can 
pound wormtongue into the ground, kill him, go up, drop your stuff in your 
house, buy a few potions of restore exp and high value spellbooks with your 
leftover gold, angband -n yourself back to what you were before, and repeat 
the process. Yes, you CAN kill wormtongue multiple times. :) 
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This also allows the creation of а human rogue with dunedain / 
S warrior 
starting stats. 


Of course, such practices are evil, vile, and disgusting. I take р 
э no 
liability for the results of spreading this information. Yeah, it's х 
„ another 
bug to go onto the pile. 


Nicholas C. Weaver perpetual ensign guppy nwe. ..@soda.berkeley. 2 
„ edu 
It is a tale, told by an idiot, full of sound and fury, .signifying р 
„ nothing. 


Since C evolved out of B, and a C+ is close to a B, 
does that mean that C++ is a devolution of the language? 


(https://groups.google.com/forum/#!original/rec.games.moria/jItmfrdGyL8/ 
FoQeiccewHAJ ) 


Весь тред. 


Автор этих строк нашел версию с ошибкой (2.4 fk) 139, и мы легко можем уви- 
деть, как определены глобальные массивы: 


/ж Number of dungeon objects */ 
#define МАХ DUNGEON ОВ) 423 


int16 sorted_objects[MAX_DUNGEON_0BJ]; 


/ж Identified objects flags */ 
int8u object_ident[OBJECT_IDENT_SIZE]; 

int16 t_level[MAX_0BJ_LEVEL+1]; 

inven Туре t_list[MAX_TALLOC]; 

inven_type inventory[INVEN_ARRAY_SIZE]; 


Видимо, это и есть причина. Константа МАХ DUNGEON_OBJ слишком маленькая 
Наверное, авторам следовало бы использовать связные списки, или иные струк- 
туры данных, без ограничений на размер. Но с массивами работать проще. 


Еще один пример переполнения буфера в глобальных массивах: 3.28 (стр. 818). 


1.28. Работа с отдельными битами 


Немало функций задают различные флаги в аргументах при помощи битовых 
“140 
полеи А 


139++р: //герһіа1.огд/ге1еаѕе/2.4. #К, һЕрѕ : / /уигісһеу. сот/тіггогѕ /апорапӣ-2.4. ЁК. аг 
140þit fields в англоязычной литературе 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


390 
Наверное, вместо этого можно было бы использовать набор переменных типа 
bool, но это было бы не очень экономно. 


1.28.1. Проверка какого-либо бита 
х86 
Например в Win32 АРІ: 


HANDLE fh; 


fh=CreateFile ("file", GENERIC_WRITE | GENERIC READ, р 
ъ FILE 5НАВЕ ВЕАБ, NULL, OPEN_ALWAYS, FILE ATTRIBUTE NORMAL, NULL); 


Получаем (MSVC 2010): 
Листинг 1.266: MSVC 2010 


push 0 

риѕћ 128 ; 00000080H 
push 4 

push 0 

push 1 

push -1073741824 ; c0000000H 
push OFFSET $5678813 

call DWORD PTR __1тр_ CreateFileA@28 
mov DWORD PTR fh$[ebp], eax 


Заглянем в файл WinNT.h: 


Листинг 1.267: WinNT.h 


#де?іпе СЕМЕВТС АЕАР (0х800000001) 
#define СбЕМЕВТС МАІТЕ (0х400000001) 
#аеҒіпе СЕМЕВІС ЕХЕСОТЕ (0х200000001) 
#аеҒіпе СЕМЕВІС АШ (0х100000001) 


Всё ясно, GENERIC_READ | СЕМЕАІС МАТЕ = 0х80000000 | 0х40000000 = 0хС0000000, 


и это значение используется как второй аргумент для функции CreateFile() 
141 


Как CreateFile() будет проверять флаги? Заглянем в KERNEL32.DLL от Windows 
ХР SP3 x86 и найдем в функции CreateFileW() в том числе и такой фрагмент 
кода: 


Листинг 1.268: КЕКМЕЕЗ 2.01 (Windows ХР SP3 x86) 


. text: 7С830429 test byte ptr [ebp+dwDesiredAccess+3], 40h 
. text : 7C83D42D mov [ebp+var 8], 1 

. text : 7C83D434 jz short 1ос 7С830417 

. text : 7C83D436 jmp loc_7C810817 


141 msdn.microsoft.com/en-us/library/aa363858(VS.85).aspx 
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Здесь мы видим инструкцию ТЕЅТ. Впрочем, она берет не весь второй аргумент 
функции, 
а только его самый старший байт (ерр+амреѕігедАссеѕ5+3) и проверяет его на 
флаг 0x40 (имеется ввиду флаг GENERIC WRITE). 


TEST это то же что и AND, только без сохранения результата (вспомните что СМР 
это то же что и SUB, только без сохранения результатов (1.12.4 (стр. 117))). 


Логика данного фрагмента кода примерно такая: 


if ((амОеѕігеаАссеѕ550х40000000) == 0) goto 1ос 7С830417 


Если после операции AND останется этот бит, то флаг ZF не будет поднят и 
условный переход JZ не сработает. Переход возможен, только если в nepe- 
менной амдеѕігеаАссеѕѕ отсутствует бит 0х40000000 — тогда результат AND 
будет 0, флаг ZF будет поднят и переход сработает. 


Попробуем ССС 4.4.1 и Linux: 


#include <stdio.h> 
#include <fcntl.h> 


void main() 


{ 
int handle; 
handle=open ("file", O_RDWR | 0 СВЕАТ); 
$; 
Получим: 
Листинг 1.269: ССС 4.4.1 
public main 
main proc near 
var_20 = dword ptr -20h 
уаг_1С = амога ріг -1Ch 
var 4 = мога ptr -4 
push ebp 
mov ebp, esp 
and esp, OFFFFFFFOh 
sub esp, 20h 
mov [esp+20h+var_1C], 42h 
mov [esp+20h+var_20], offset aFile ; "file" 
call _ореп 
mov [esp+20h+var_4], eax 
leave 
retn 
main endp 


Заглянем в реализацию функции open() в библиотеке libc.so.6, но обнару- 
жим что там только системный вызов: 
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Листинг 1.270: ореп() (ПБс.50.6) 


. text : 000ВЕб9В mov edx, [esp+4+mode] ; mode 

. text: 000BE69F mov ecx, [esp+4+flags] ; flags 

. text : 000ВЕбАЗ mov ebx, [esp+4+filename] ; filename 

. text : 000BE6A7 mov eax, 5 

. text: 000BE6AC int 80h ; LINUX - sys_open 


Значит, битовые поля флагов open () проверяются где-то в ядре Linux. 


Разумеется, и стандартные библиотеки Linux и ядро Linux можно получить в 
виде исходников, но нам интересно попробовать разобраться без них. 


При системном вызове ѕуѕ ореп управление в конечном итоге передается в 
до 5уѕ ореп в ядре Linux 2.6. Оттуда — в do filp_ ореп() (эта функция нахо- 
дится в исходниках ядра в файле #ѕ/патеі. с). 


М.В. Помимо передачи параметров функции через стек, существует также воз- 
можность передавать некоторые из них через регистры. Такое соглашение о 
вызове называется fastcall (6.1.3 (стр. 942)). Оно работает немного быстрее, 
так как для чтения аргументов процессору не нужно обращаться к стеку, ле- 
жащему в памяти. В ССС есть опция гедрагт!^?, и с её помощью можно задать, 
сколько аргументов можно передать через регистры. 


Ядро Linux 2.6 собирается с опцией -тгедрагт=3143 144. 


Для нас это означает, что первые три аргумента функции будут передаваться 
через регистры ЕАХ, ЕБХ и ЕСХ, а остальные через стек. Разумеется, если ар- 
гументов у функции меньше трех, то будет задействована только часть этих 
регистров. 


Итак, качаем ядро 2.6.31, собираем его в Ubuntu, открываем в IDA, находим 
функцию do _filp_open(). В начале мы увидим что-то такое (комментарии мои): 


Листинг 1.271: ао #Ір ореп() (linux kernel 2.6.31) 


ао _filp_open ргос пеаг 
push ebp 
mov ebp, esp 
push edi 
push esi 
push ebx 
mov ebx, ecx 
add ebx, 1 
sub esp, 98h 
mov esi, [ebp+arg_4] ; асс mode (пятый аргумент) 
test bl, 3 
mov [ebp+var_80], eax ; dfd (первый аргумент) 
mov [ebp+var_7C], edx ; pathname (второй аргумент) 
mov [ebp+var_78], ecx ; open _ flag (третий аргумент) 
jnz short loc СӨ1ЕҒ684 


1420hse.de/uwe/articles/gcc-attributes.html#func-regparm 
143kernelnewbies.org/Linux_2_6_20#head-042c62f290834eb1fe0a1942bbf5bb9a4accbc8f 
144См. также файл arch/x86/include/asm/calling.h в исходниках ядра 
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mov ebx, ecx ; ebx <- open_flag 


ССС сохраняет значения первых трех аргументов в локальном стеке. Иначе, 
если эти три регистра не трогать вообще, то функции компилятора, распреде- 
ляющей переменные по регистрам (так называемый register allocator), будет 
очень тесно. 


Далее находим примерно такой фрагмент кода: 


Листинг 1.272: ао #Ір ореп() (linux kernel 2.6.31) 


loc С01ЕЕ684: ; CODE XREF: do filp_open+4F 
test bl, 40h ; 0 CREAT 
jnz loc_C0O1EF810 
mov edi, ebx 
shr edi, 11h 
xor edi, 1 
and edi, 1 
test ebx, 10000h 
jz short loc СӨ1ЕР6рЗ 
or edi, 2 


0x40 — это значение макроса 0 CREAT. open_flag проверяется на наличие бита 
0x40 и если бит равен 1, то выполняется следующие за Ј№ инструкции. 


АКМ 
В ядре Linux 3.8.0 бит 0_СВЕАТ проверяется немного иначе. 


Листинг 1.273: linux kernel 3.8.0 


struct file жао filp_open(int ата, struct filename *раїһпате, 
const struct open_flags жор) 


{ 
o filp = path_openat(dfd, pathname, &па, op, flags | LOOKUP АСИ); 
static struct file »path_openat(int dfd, struct filename *раїһпате, 


struct nameidata *па, const struct open_flags жор, int к 
S flags) 


error = do_last(nd, &path, file, op, &opened, pathname); 
static int do last(struct nameidata жпа, struct path path, 


struct file file, const struct open_flags жор, 
int жорепеа, struct filename *пате) 
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if (!(open flag & 0 САЕАТ)) { 


} else 


error = 


{ 


error = 


lookup_fast(nd, path, &inode); 


complete walk(nd); 


Вот как это выглядит B IDA, ядро скомпилированное для режима ARM: 


Листинг 1.274: do_last() из vmlinux (IDA) 


.text: 
.text: 
.text: 
.text: 


.text: 
: C0169F74 


.text 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
: C0169FB0 


.text 


.text: 
.text: 
.text: 
.text: 


C0169EA8 


C0169ED4 


C0169F68 
C0169F6C 
C0169F70 


C0169F78 
СӨ169Е7С 
С0169Е80 
С0169Е84 
С0169Е88 
СӨ169Е8С 
С0169ғ90 
C0169F94 
C0169F98 
C0169F9C 
C0169FA0 
C0169FA4 
C0169FA8 
C0169FAC 


C0169FB4 
C016A128 


C016A128 
C016A12C 


MOV 
LDR 


TST 
BNE 
LDR 
ADD 
LDR 
MOV 
STR 
LDRB 
MOV 
CMP 
ORRNE 
STRNE 
ANDS 
MOV 
LDRNE 
ANDNE 
EORNE 
STR 
SUB 
BL 


loc_C016A128 
MOV 
BL 


R9, R3 ; R3 - (4th argument) open flag 


R6, [R9] ; R6 - open_flag 
Аб, #0x40 ; 
loc_C016A128 
R2, [R4,#0x10] 
R12, R4, #8 

R3, [R4,#0xC] 

RO, R4 

R12, [R11,#var_50] 
R3, [R2,R3] 

R2, R8 

R3, #0 

R1, R1, #3 

R1, [R4,#0x24] 

R3, R6, #0x200000 
R1, R12 

R3, [R4,#0x24] 

R3, R3, #1 

R3, R3, #1 

R3, [R11,#var_54] 
R3, R11, #-var 38 
lookup fast 


jumptable C0169F00 default case 


; CODE XREF: do last.isra.14+DC 
RO, R4 


complete_walk 


TST это аналог инструкции TEST в x86. Мы можем «узнать» визуально этот фраг- 
мент кода по тому что в одном случае исполнится функция Lookup Ғаѕї(), ав 
другом complete ма1К(). Это соответствует исходному коду функции о 1аѕ1(). 
Макрос 0_СВЕАТ здесь так же равен 0x40. 
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1.28.2. Установка и сброс отдельного бита 


Например: 


#include <stdio.h> 


#define SET ВІТ (маг, bit) ((var) (bit)) 


#define 15 _SET(flag, bit) ((flag) & (bit)) 
|= 
#define REMOVE ВІТ (маг, bit) ((var) &= -(611)) 


int f(int а) 


{ 
int rt=a; 
ЅЕТ ВІТ (rt, 0х4000); 
REMOVE ВІТ (гї, 0x200); 
return rt; 

}; 

int main() 

{ 
f (0x12340678) ; 

}; 

х86 


Неоптимизирующий MSVC 


Имеем в итоге (MSVC 2010): 


Листинг 1.275: М$\УС 2010 


_гї$ = -4 ; 51те = 4 
_а$ = 8 ; size = 4 
Е PROC 
push ebp 
mov ebp, esp 
push ecx 


mov eax, DWORD PTR _a$[ebp] 

mov DWORD PTR _rt$[ebp], eax 

mov ecx, DWORD PTR _rt$[ebp] 

or ecx, 16384 ; 00004000H 
mov DWORD PTR _rt$[ebp], ecx 

mov edx, DWORD PTR _rt$[ebp] 

and edx, -513 ; fffffdffH 
mov DWORD PTR _rt$[ebp], edx 

mov eax, DWORD PTR _rt$[ebp] 


mov esp, ebp 
pop ebp 
ret 0 

f ЕМОР 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


396 


Инструкция ОК здесь устанавливает в регистре один бит, игнорируя остальные 
биты-единицы. 


А AND сбрасывает некий бит. Можно также сказать, что AND здесь копирует все 
биты, кроме одного. Действительно, во втором операнде AND выставлены веди- 
ницу те биты, которые нужно сохранить, кроме одного, копировать который 
мы не хотим (и который 0 в битовой маске). Так проще понять и запомнить. 
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OllyDbg 


Попробуем этот пример в OllyDbg. Сначала, посмотрим на двоичное представ- 
ление используемых нами констант: 


0x200 (0000000000000000000001000000000) (т.е. 10-й бит (считая с первого)). 


Инвертированное 0x200 это OxXFFFFFDFF 
(0611111111111111111110111111111). 


0х4000 (0600000000000000100000000000000) (т.е. 15-й бит). 


Входное значение это: 0х12340678 
(0610010001101000000011001111000). Видим, как оно загрузилось: 


CPU - main thread, module ѕеё геѕеЁ -Ioj хі 
PUSH ЕВР i у 
МОУ ЕВР,Е5$Р 
РИ5Н ЕСХ 
MOU EAX, DWORD PTR 55: СКС. 17 
MOU DWORD PTR SS:[LOCAL. 11, EAX 
МОУ ECX, DWORD PTR SS:[LOCAL. 1] 
OR ECX, 80904898 
DWORD PTR SS:[LOCAL. 11, ECX 
EDX, DWORD PTR SS:[LOCAL.1] 
EDX, FFFFFDFF 
DWORD PTR 55: ССОСЯГ. 11, EDX › 88ЕЗ!1 980 
EAX, DWORD РТВ 55: (6ОСАЬ. 17 ES Ø 
U ESP, EBP it В(ЕЕЕЕЕЕЕЕ) 
аа ‹ Й(ЕЕЕЕЕЕЕЕ) 
@(ЕЕЕЕЕЕРЕ) 
ТЕЕППӘЙЙГЕЕЕ) 
ØLFFFFFFFF) 


a 


RETURN from set. 


RETURN from set. 
ASCII ”pNI” 


Рис. 1.94: OllyDbg: значение загружено B ECX 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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ОВ исполнилась: 


РОЗН ЕВР 
MOU ЕВР,ЕЗР 
PUSH ЕСХ 
MOU EAX, DWORD PTR 55: САВО, 11 
MOU DWORD РТВ SS:CLOCAL. 11, EAX 
MOU ECX, DWORD PTR $5: ССОСАС. 17 
OR ECX, 98994908 
моу РТВ S$S:[LOCAL. 11, ECX 
MOU EDX, DWORD PTR $5: ССОСА. 11 р Ее 
AND EDX, FFFFFDFF sir есасте ` 
MOU ЕДЕ, DWORD РТА 58+ ГСОСАГ-11 еее Ы 
' ы s са Е 2 ØLFFFFFFFF) 
MOV ESP; EBE ў В(ЕЕЕЕЕЕЕЕ) 
RETN 7 t ØLFFFFFFFF) 
N 2 | с Я(ЕРЕРЕЕЕЕ) 


D 
F$ ‚ ZEFDDØOO(FFF) 
6 it ВГЕРЕРЕРЕЕ) 


ЕЕ ЕЕ ЕЁ| 91 00 © i opar RETURN from set, 
з 00 4 |; 0 й Д (7 ҺМЈ 


RETURN from set. 
ASCII ”pNI” 


Рис. 1.95: OllyDbg: OR сработал 


15-й бит выставлен: 0x12344678 
(0610010001101000100011001111000). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Значение перезагружается снова (потому что использовался режим компиля- 
тора без оптимизации): 


ше зе! гезе! 


РУЗН_ЕВР 
МОУ ЕВР, ЕЗР 
РОЅН ЕСХ 

МОУ EAX, DWORD PTR 55: ГАКб. 1] 
MOU DWORD РТВ S$S:[LOCAL. 11, EAX 
МОУ ECX, DWORD РТВ SS:[LOCAL. 1] 
ОВ ECX, 00004000 

МОУ DWORD РТВ S$S:[LOCAL. 11, ЕСХ 
МОУ EDX, DWORD PTR SS:[LOCAL.1] 
AND EDX, FFFFFDFF 


Е 
MOU DWORD PTR SS:CLOCAL. 11, EDX 
MOU EAX, DWORD PTR SS:CLOCAL.1] 
MOU ESP, EBP 

РОР ЕВР 

RETN 


t В(ЕЕЕЕЕЕЕЕ) 

‚ ØLFFFFFFFF) 
В(ЕЕЕЕЕЕЕЕ) 

t ТЕЕПОЙЙЙ(ЕРЕ) 

‚ ВС ЕРЕРЕЕЕЕ) 


108 ERROR_SUCCESS 
МВ, МЕ, Я, РЕ, БЕ, G) 


Тим=РРЕРЕОЕЕ 
Е0Х=12344678 


оффе но 


RETURN from set, 
ASCII ”pNI” 


Рис. 1.96: OllyDbg: значение перезагрузилось B EDX 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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AND исполнилась: 


РУЗН_ЕВР 

МОУ ЕВР, ЕЗР 

РУЗН_ЕСХ 

МОУ EAX, DWORD PTR 55: ГАВб. 1] 


MOU DWORD РТВ 55: ГЕ ОСАЁ. 11, ЕЯХ 
ORD А 55:1 0СА1. 11 


DWORD РТВ SS:[LOCAL. 11, ECX 
MOU EDX, DWORD РТВ 55: ССОСАГ.17 
AND EDX, FFFFFDFF 
MOU DWORD PTR 69: С_ОСАІ.. 11, EDX 
MOU EAX, DWORD PTR SS:[LOCAL.1] 
MOU ESP, EBP 
РОР ЕВР 
RETN 


t_reset.00E3101F 


bit ØLFFFFFFFF) 
bit ØLFFFFFFFF) 
bit ØLFFFFFFFF) 
bit ØLFFFFFFFF) 
bit 7ЕРООВВВ(ЕЕЕ) 
bit ØLFFFFFFFF) 


Е0х=12344478 
Stack [9822ЕЕС881=12344678 


›п-огртс ттт 


Ө ӨҢ ер RETURN from set. 
HCJ hNJ 


RETURN from set, 
ASCII ”pNI” 


ооо гт ‹ 


Al ва ва йй йй A Ak па ай йй в 


Рис. 1.97: OllyDbg: AND сработал 


10-й бит очищен (или, иным языком, оставлены все биты кроме 10-го) и итого- 
вое значение это 
0х12344478 (0610010001101000100010001111000). 


Оптимизирующий М$\С 


Если скомпилировать в М5\С с оптимизацией (/0х), то код еще короче: 


Листинг 1.276: Оптимизирующий MSVC 


_а$ = 8 ; 5і7е = 4 
f PROC 
mov eax, DWORD PTR _a$[esp-4] 
and eax, -513 ; fffffdffH 
or eax, 16384 ; 00004000H 
ret 0 
f ENDP 


Неоптимизирующий ССС 


Попробуем ССС 4.4.1 без оптимизации: 


Листинг 1.277: Неоптимизирующий ССС 


public f 
f proc near 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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var 4 = амога ріг -4 

arg 0 = дмога ріг 8 
push ebp 
mov ebp, esp 
sub esp, 10h 
mov eax, [ebp+arg_0] 
mov [ebp+var_4], eax 
or [ebp+var_4], 4000h 
and [ebp+var_4], OFFFFFDFFh 
mov eax, [ебр+уаг_4] 
leave 
retn 

f endp 


Также избыточный код, хотя короче, чем y MSVC без оптимизации. 


Попробуем теперь ССС с оптимизацией -03: 


Оптимизирующий ССС 


Листинг 1.278: Оптимизирующий ССС 


public f 

f proc near 

arg 0 = dword ptr 8 
push ebp 
mov ebp, esp 
mov eax, [ebp+arg_0] 
pop ebp 
or ah, 40h 
and ah, OFDh 
retn 

f endp 


Уже короче. Важно отметить, что через регистр АН компилятор работает с 4a- 
стью регистра ЕАХ. Это его часть от 8-го до 15-го бита включительно. 


Номер байта: 
7-й | 6-й | 5-й | 4-й | 3-й | 2-й | 1-й | 0-й 
ВАХХ64 


ЕАХ 


АХ 
АН | AL 


М.В. В 16-битном процессоре 8086 аккумулятор имел название АХ и состоял 
из двух 8-битных половин — АЁ (младшая часть) и АН (старшая). В 80386 реги- 
стры были расширены до 32-бит, аккумулятор стал называться EAX, но в целях 
совместимости, к его более старым частям всё ещё можно обращаться как к 
АХ/АНГАЕ. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Из-за того, что все х86 процессоры — наследники 16-битного 8086, эти старые 
16-битные опкоды короче нежели более новые 32-битные. Поэтому инструкция 
ог аһ, 40h занимает только З байта. Было бы логичнее сгенерировать здесь 
ог eax, 040001, но это уже 5 байт, или даже 6 (если регистр в первом операн- 
де не EAX). 


Оптимизирующий ССС и гедрагт 


Если мы скомпилируем этот же пример не только с включенной оптимизацией 
- 03, ноещё и с опцией гедрагт=3, о которой я писал немного выше, то получит- 
ся ещё короче: 


Листинг 1.279: Оптимизирующий ССС 


public f 

f proc near 
push ebp 
or ah, 40h 
mov ebp, esp 
and ah, OFDh 
pop ebp 
retn 

f endp 


Действительно — первый аргумент уже загружен B EAX, и прямо здесь можно 
начинать с ним работать. Интересно, что и пролог функции (риѕћ ебр / тоу 
ерр,еѕр) и эпилог (рор ebp) функции можно смело выкинуть за ненадобностью, 
но возможно ССС ещё не так хорош для подобных оптимизаций по размеру 
кода. Впрочем, в реальной жизни подобные короткие функции лучше всего 
автоматически делать в виде т/пе-функций (3.12 (стр. 642)). 


АВМ + Оптимизирующий Кей 6/2013 (Режим АВМ) 


Листинг 1.280: Оптимизирующий Кей 6/2013 (Режим АВМ) 


02 0С СӨ ЕЗ BIC RO, RO, #0x200 
01 09 80 E3 ORR RO, RO, #0x4000 
1E FF 2F El BX LR 


BIC (Bltwise bit Clear) это инструкция сбрасывающая заданные биты. Это как 
аналог AND, но только с инвертированным операндом. 


Т.е. это аналог инструкций МОТ +АЮО. 
ОВК это «логическое или», аналог ОВ в x86. 


Пока всё понятно. 


АКМ + Оптимизирующий Кей! 6/2013 (Режим Thumb) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Листинг 1.281: Оптимизирующий Keil 6/2013 (Режим Thumb) 


01 21 89 03 МО\/5 R1, 0х4000 

08 43 ORRS RO, R1 

49 11 ASRS R1, R1, #5 ; сгенерировать 0x200 и записать B 
R1 

88 43 BICS RO, R1 

70 47 BX LR 


Вероятно, Keil решил, что код в режиме Thumb, получающий 0x200 из 0x4000, 
более компактный, нежели код, записывающий 0х200 в какой-нибудь регистр. 


Поэтому при помощи инструкции ASRS (арифметический сдвиг вправо), это 3Ha- 
чение вычисляется как 0х4000 >> 5. 


ARM + Оптимизирующий Xcode 4.6.3 (ШММ) (Режим АВМ) 


Листинг 1.282: Оптимизирующий Xcode 4.6.3 (ШММ) (Режим ARM) 


42 0С СӨ ЕЗ ВІС RO, RO, #0х4200 
01 09 80 E3 ORR RO, RO, #0x4000 
1E FF 2F El BX LR 


Код, который был сгенерирован LLVM, в исходном коде, на самом деле, выгля- 
дел бы так: 


ВЕМО\МЕ ВІТ (гї, 0х4200); 
ЅЕТ ВІТ (rt, 0х4000); 


И он делает в точности что нам нужно. Но почему 0х4200? Возможно, это ap- 
тефакт оптимизатора ШУМ 1^, Возможно, ошибка оптимизатора компилятора, 
но создаваемый код всё же работает верно. 


Об аномалиях компиляторов, подробнее читайте здесь (10.5 (стр. 1247)). 


Оптимизирующий Xcode 4.6.3 (ШММ) для режима Thumb генерирует точно Ta- 
кой же код. 


ARM: ещё об инструкции ВТС 


Если немного переделать пример: 


int f(int а) 


{ 
int rt=a; 
REMOVE ВІТ (rt, 0x1234); 
return rt; 

}; 


То оптимизирующий Keil 5.03 в режиме ARM сделает такое: 


145Это был ШММ build 2410.2.00 входящий в состав Apple Xcode 4.6.3 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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f PROC 
BIC r0, го, #0х1000 
ВТС го, го, #0х234 
ВХ 1г 


ЕМОР 


Здесь две инструкции ВТС, т.е. биты 0х1234 сбрасываются в два прохода. 


Это потому что в инструкции ВТС нельзя закодировать значение 0х1234, но 
можно закодировать 0х1000 либо 0x234. 
АКМ64: Оптимизирующий ССС (Linaro) 4.9 


Оптимизирующий ССС, компилирующий для АКМ64, может использовать AND 
вместо ВТС: 


Листинг 1.283: Оптимизирующий ССС (Linaro) 4.9 


f: 
and w0, w0, -513 ; OXFFFFFFFFFFFFFDFF 
orr w0, мо, 16384 ; 0x4000 
ret 


ARM64: Неоптимизирующий GCC (Linaro) 4.9 


Неоптимизирующий ССС генерирует больше избыточного кода, но он работает 
также: 


Листинг 1.284: Неоптимизирующий ССС (Шпаго) 4.9 


f: 
sub sp, sp, #32 
str w0, [sp,12] 
tdr w0, [sp,12] 
str w0, [sp,28] 
ldr w0, [sp,28] 
orr w0, м0, 16384 ; 0x4000 
str w0, [sp,28] 
ldr w0, [sp,28] 
and w0, w0, -513 = OXFFFFFFFFEFFFFFDFF 
str w0, [sp,28] 
ldr w0, [sp,28] 
add sp, Sp, 32 
ret 
MIPS 
Листинг 1.285: Оптимизирующий ССС 4.4.5 (IDA) 
T: 
; $a0=a 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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ori $a0, 0x4000 

; $а0=а|0х4000 
li фу0, OxFFFFFDFF 
jr $ra 


and $у0, $a0, $\%0 
; на выходе: $%0 = $a0 & $\0 = a|0x4000 & OxFFFFFDFF 


ORI это, конечно, операция «ИЛИ», «l» в имени инструкции означает, что 3Ha- 
чение встроено в машинный код. 


И напротив, есть AND. Здесь нет возможности использовать ANDI, потому что 
невозможно встроить число ОхЕЕЕЕЕОЕЕ в одну инструкцию, так что компилято- 
ру приходится в начале загружать значение ОхЕЕЕЕЕОЕЕ в регистр $\/0, а затем 
генерировать AND, которая возьмет все значения из регистров. 


1.28.3. Сдвиги 


Битовые сдвиги в Си/Си+ Ғреализованы при помощи операторов «< и >. В x86 
есть инструкции SHL (SHift Left) и SHR (SHift Right) для этого. Инструкции сдвига 
также активно применяются при делении или умножении на числа-степени 
двойки: 2” (т.е. 1, 2, 4, 8, ит. д.): 1.24.1 (стр. 275), 1.24.2 (стр. 281). 


Операции сдвига ещё потому так важны, потому что они часто используются 
для изолирования определенного бита или для конструирования значения из 
нескольких разрозненных бит. 


1.28.4. Установка и сброс отдельного бита: пример с ЕРО 


Как мы уже можем знать, вот как биты расположены в значении типа float в 
формате IEEE 754: 


3130 23 22 0 


Ѕэкспонента мантисса 


(5 — знак ) 


Знак числа — это М$В146, Возможно ли работать со знаком числа с плавающей 
точкой, не используя ЕРУ-инструкций? 


#include <stdio.h> 


float my abs (float і) 


{ 
unsigned int tmp=(»(unsigned 1пї*)&1) & 0x7FFFFFFF; 


return *(float»)&tmp; 
}; 


float ѕеї ѕідп (float i) 


{ 
unsigned int tmp=(*(unsigned 1пї*)&1) | 0x80000000; 


146Most significant bit (самый старший бит) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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return *(float*)&tmp; 


$; 

float negate (float і) 

{ 
unsigned int tmp=(*(unsigned int*)&i) ^ 0x80000000; 
return *(float»)&tmp; 

$; 

int main() 

{ 
printf ("my_abs():\n"); 
printf ("%f\n", my_abs (123.456)); 
printf ("%f\n", my_abs (-456.123)); 
printf ("set_sign():\n"); 
printf ("%f\n", set_sign (123.456)); 
printf ("%f\n", set_sign (-456.123)); 
printf ("negate():\n"); 
printf ("%f\n", negate (123.456)); 
printf ("%f\n", negate (-456.123)); 

$; 


Придется использовать эти трюки в Си/Си++с типами данных чтобы копиро- 
вать из значения типа float и обратно без конверсии. Так что здесь три функ- 
ции: ту абѕ() сбрасывает MSB; ѕеї ѕідп() устанавливает MSB и педа{е() me- 
няет его на противоположный. 


ХОА может использоваться для смены бита. 


x86 
Код прямолинеен: 


Листинг 1.286: Оптимизирующий MSVC 2012 


_tmp$ = 8 

_1$ = 8 

_му_аб$ PROC 
апа DWORD РТК _1$[е5р-4], 2147483647 ; 7fffffffH 
fld DWORD PTR _tmp$[esp-4] 
ret 0 

_ту аб$ ЕМОР 

_tmp$ = 8 

_1$ = 8 

_ѕеї ѕідп PROC 
ог DWORD PTR _1$[е5р-4], -2147483648 ; 30000000H 
fld DWORD PTR _tmp$[esp-4] 
ret 0 


_ѕеї ѕідп ЕМОР 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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_педафе PROC 


хог DWORD PTR _1$[е5р-4], -2147483648 ; 30000000H 
fld DWORD PTR _tmp$[esp-4] 
ret 0 


_педаїе ЕМОР 


Входное значение типа float берется из стека, но мы обходимся с ним как с 
целочисленным значением. 


АМО и ОВ сбрасывают и устанавливают нужный бит. ХОК переворачивает его. 


В конце измененное значение загружается в STO, потому что числа с плаваю- 
щей точкой возвращаются в этом регистре. 


Попробуем оптимизирующий MSVC 2012 для x64: 
Листинг 1.287: Оптимизирующий М5\С 2012 x64 


їтр$ = 8 

1$ = 8 

ту аб5 PROC 
movss DWORD PTR [rsp+8], хтто 
mov eax, DWORD PTR i$[rsp] 
btr eax, 31 
mov DWORD PTR tmp$[rsp], eax 
movss xmm, DWORD PTR tmp$[rsp] 
ret 0 

ту абрѕ ЕМОР 

_ТЕХТ ENDS 

їтр$ = 8 

1$ = 8 


ѕеї $19п РКОС 
movss DWORD PTR [rsp+8], хтто 


mov eax, DWORD PTR i$[rsp] 
bts eax, 31 

mov DWORD PTR tmp$[rsp], eax 
movss хтт0, DWORD PTR tmp$[rsp] 
ret 0 


ѕеї ѕідп ЕМОР 


tmp$ = 8 
i$ = 8 
negate PROC 
movss DWORD PTR [rsp+8], хттб 


mov eax, DWORD PTR i$[rsp] 
btc eax, 31 

mov DWORD PTR tmp$[rsp], eax 
movss хтт0, DWORD PTR tmp$[rsp] 
ret 0 


negate ЕМОР 


Во-первых, входное значение передается в ХММО, затем оно копируется в ло- 
кальный стек и затем мы видим новые для нас инструкции: ВТВ, BTS, ВТС. Эти 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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инструкции используются для сброса определенного бита (BTR: «гезе{»), уста- 
новки (BTS: «set») и инвертирования (ВТС: «сотріетепі»). 31-й бит это MSB, 
если считать начиная с нуля. И наконец, результат копируется в регистр ХММӨ, 
потому что значения с плавающей точкой возвращаются в регистре XMMO в cpe- 
де Win64. 


МР$ 
ССС 4.4.5 для MIPS делает почти то же самое: 


Листинг 1.288: Оптимизирующий ССС 4.4.5 (IDA) 


ту абѕ: 
; скопировать из сопроцессора 1: 
mfc1 $v1, $f12 
li фу0, 0x7FFFFFFF 
; $у0=0х7ЕЕЕЕЕЕЕ 
; применить И: 
апа $\0, $v1 
; скопировать в сопроцессор 1: 
тїс1 $у0, $10 
; возврат 
jr $ra 
or $at, $zero ; branch delay slot 


set_sign: 
; скопировать из сопроцессора 1: 
mfc1 $\0, $f12 
lui $v1, 0x8000 
; $v1=0x80000000 
; применить ИЛИ: 
ог $0, $1, $0 
; скопировать в сопроцессор 1: 
тїс1 $\0, $10 
; возврат 
jr $ra 
or $at, $zero ; branch delay slot 


negate: 
; скопировать из сопроцессора 1: 
mfc1 $\0, $f12 
lui $v1, 0x8000 
; $v1=0x80000000 
; применить исключающее ИЛИ: 
хог $\0, $1, $0 
; скопировать в сопроцессор 1: 
тїс1 $у0, $10 
; возврат 
jr $ra 
or $at, $zero ; branch delay slot 


Для загрузки константы 0х80000000 в регистр используется только одна MH- 
струкция ШТ, потому что ШТ сбрасывает младшие 16 бит и это нули в констан- 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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те, так что одной ШТ без ОВТ достаточно. 


АКМ 
Оптимизирующий Кей 6/2013 (Режим АВМ) 


Листинг 1.289: Оптимизирующий Кей 6/2013 (Режим ARM) 


ту абѕ PROC 

; очистить бит: 
ВТС гб, го, #0х80000000 
ВХ 1г 
ЕМОР 


ѕеї ѕідп PROC 
; применить ИЛИ: 


ORR го, го, #0х80000000 
ВХ tr 
ENDP 


negate PROC 
; применить исключающее ИЛИ: 


ЕОВ r0, го, #0х80000000 
ВХ 1г 
ЕМОР 


Пока всё понятно. В АВМ есть инструкция ВТС для сброса заданных бит. 


EOR это инструкция в ARM которая делает то же что и XOR («Exclusive ОВ»). 


Оптимизирующий Кей! 6/2013 (Режим Thumb) 


Листинг 1.290: Оптимизирующий Keil 6/2013 (Режим Thumb) 


ту абѕ PROC 

LSLS го, го, #1 
; Г0=1<<1 

1585 го, го, #1 
; ГО=(1<<1)>>1 

ВХ 1г 

ЕМОР 
ѕеї $19п PROC 

МО\/5 г1,#1 
* a 

LSLS г1,г1,#31 
; Г1=1<<31=0х80000000 

ORRS го, го, г1 
; г0=г0 | 0x80000000 

ВХ 1г 

ЕМОР 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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negate PROC 


MOVS г1,#1 
ШЕ! 

1515 г1,г1,#31 
; Г1=1<<31=0х80000000 

ЕОВ$ го, го, г1 
; rO=r0 ^ 0х80000000 

ВХ tr 

ENDP 


В режиме Thumb 16-битные инструкции, в которых нельзя задать много дан- 
ных, поэтому здесь применяется пара инструкций MOVS/LSLS для формирова- 
ния константы 0х80000000. 


Это работает как выражение: 1 << 31 = 0580000000. 


Код ту абѕ выглядит странно и работает как выражение: (i << 1) >> 1. Это выра- 
жение выглядит бессмысленным. Но тем не менее, когда исполняется input << 1, 
MSB (бит знака) просто выбрасывается. Когда исполняется следующее выра- 
жение result >> 1, все биты становятся на свои места, а MSB ноль, потому что 
все «новые» биты появляющиеся во время операций сдвига это всегда нули. 
Таким образом, пара инструкций LSLS/LSRS сбрасывают MSB. 


Оптимизирующий ССС 4.6.3 (Raspberry Рі, Режим АВМ) 


Листинг 1.291: Оптимизирующий ССС 4.6.3 для Raspberry Рі (Режим ARM) 


ту абѕ 
; скопировать из 50 в R2: 
ҒМАЅ R2, 50 
‚ очистить бит: 
ВТС R3, R2, #0х80000000 
; скопировать из R3 в 50: 
ЕМЅА 50, ВЗ 
ВХ LR 


set_sign 
; скопировать из SO в R2: 
FMRS R2, 50 
; применить ИЛИ: 
ORR R3, R2, #0x80000000 
; скопировать из R3 в 50: 
ЕМЅА 50, ВЗ 
ВХ LR 


negate 
; скопировать из SO B R2: 
FMRS R2, 50 
; применить операцию сложения: 
ADD R3, R2, #0x80000000 
; скопировать из R3 в 50: 
ЕМЅА 50, ВЗ 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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ВХ ЕВ 


Запустим Raspberry Рі Linux в QEMU и он эмулирует FPU в ARM, так что здесь 
используются 5-регистры для передачи значений с плавающей точкой вместо 
В-регистров. 


Инструкция FMRS копирует данные из СРВ в FPU и назад. ту ађѕ() и ѕеї $19п() 
выглядят предсказуемо, но педаїе()? Почему там ADD вместо ХОВ? 


Трудно поверить, но инструкция ADD register, 0х80000000 работает так же 
как и 

XOR register, 0х80000000. Прежде всего, какая наша цель? Цель в том, чтобы 
поменять MSB на противоположный, и давайте забудем пока об операции ХОВ. 


Из школьной математики мы можем помнить, что прибавление числа вроде 
1000 к другому никогда не затрагивает последние 3 цифры. 


Например: 1234567 + 10000 = 1244567 (последние 4 цифры никогда не меняются). 
Но мы работаем с двоичной системой исчисления, 

и 0х80000000 это 06100000000000000000000000000000000 в двоичной систе- 
ме, т.е. только старший бит установлен. 


Прибавление 0х80000000 к любому значению никогда не затронет младших 
31 бит, а только MSB. 


Прибавление 1 к 0 в итоге даст 1. Прибавление 1 к 1 даст 0610 в двоичном 
виде, но 32-й бит (считая с нуля) выброшен, потому что наши регистры имеют 
ширину в 32 бита. Так что результат — 0. 


Вот почему ХОК здесь можно заменить на ADD. Трудно сказать, почему ССС 
решил сделать так, но это работает корректно. 


1.28.5. Подсчет выставленных бит 


Вот этот несложный пример иллюстрирует функцию, считающую количество 
бит-единиц во входном значении. 


Эта операция также называется «population count»! 


#include <stdio.h> 
#define IS_SET(flag, bit) ((flag) & (bit)) 


int f(unsigned int a) 
{ 
int i; 
int rt=0; 
for (i=0; i<32; i++) 


if (IS_SET (a, 1<<i)) 
rt++; 


147 современные х86-процессоры (поддерживающие SSE4) даже имеют инструкцию POPCNT для 
этого 
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return rt; 
}; 
int маіп() 

#(0х12345678); // test 
}; 


В этом цикле счетчик итераций = считает от 0 до 31, а 1 < i будет от 1 до 
0х80000000. Описывая это словами, можно сказать сдвинуть единицу на п бит 
влево. Т.е. в некотором смысле, выражение 1 «i последовательно выдает все 
возможные позиции бит в 32-битном числе. Освободившийся бит справа все- 
гда обнуляется. 


Вот таблица всех возможных значений 1 «i DNA i =0...31: 


Выражение | Степень двойки | Десятичная форма | Шестнадцатеричная 
1<0 20 1 1 

1<1 21 2 2 

1<2 2? 4 4 

1<3 23 8 8 

1<4 27 16 0x10 

1<5 25 32 0х20 

1<6 28 64 0х40 

1<7 27 128 0x80 

1<8 28 256 0х100 

1<9 29 512 0х200 
1<10 210 1024 0x400 
1<<11 Вя 2048 0х800 

1<« 12 912 4096 0х1000 

1< 13 913 8192 0x2000 

1< 14 914 16384 0х4000 

1< 15 25 32768 0x8000 

1< 16 216 65536 0х10000 
1< И 2 131072 0х20000 

1< 18 218 262144 0х40000 

1 < 19 219 524288 0x80000 

1 < 20 220 1048576 0x100000 
1<21 577 2097152 0х200000 
1< 92 222 4194304 0х400000 

1 « 23 J 8388608 0x800000 
1< 24 277 16777216 0x1000000 
1< 25 229 33554432 0х2000000 
1< 26 226 67108864 0х4000000 
1<27 227 134217728 0x8000000 
1<28 228 268435456 0x10000000 
1 < 29 229 536870912 0x20000000 
1 < 30 280 1073741824 0х40000000 
1< 31 291 2147483648 0х80000000 
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Это числа-константы (битовые маски), которые крайне часто попадаются в 
практике reverse епдіпеег-а, и их нужно уметь распознавать. 


Числа в десятичном виде, до 65536 и числа в шестнадцатеричном виде легко 
запомнить и так. А числа в десятичном виде после 65536, пожалуй, заучивать 
не нужно. 


Эти константы очень часто используются для определения отдельных бит как 
флагов. 


Например, это из файла 551 ргіха+е. һ из исходников Apache 2.4.6: 


/ жж 

ж Define the SSL options 

*/ 
#define 551 ОРТ_МОМЕ ( 
#define 551 ОРТ_ВЕЕЗЕТ ( ) 
#define 551 ОРТ_5ТОЕМ\\АВ5 ( ) 
#define SSL ОРТ_ЕХРОВТСЕКТОАТА ( ) 
#define 551 ОРТ _РАКЕВАЗТСАУТН (1<<4) 
#define 551 OPT_STRICTREQUIRE ( ) 
#define 551 ОРТ_ОРТВЕМЕСОТТАТЕ ( ) 
#define SSL _OPT_LEGACYDNFORMAT ( ) 


Вернемся назад к нашему примеру. 

Макрос 15 ЅЕТ проверяет наличие этого бита в а. 

Макрос 15 ЅЕТ на самом деле это операция логического И (АМР) и она возвра- 
щает 0 если бита там нет, либо эту же битовую маску, если бит там есть. В 
Си/Си++, конструкция і?() срабатывает, если выражение внутри её не ноль, 
пусть хоть 123456, поэтому все будет работать. 

х86 


MSVC 


Компилируем (MSVC 2010): 
Листинг 1.292: MSVC 2010 


_гї$ = -8 ; size = 4 
_1$ = -4 ; 51е = 4 
_а$ = 8 ; size = 4 
_f PROC 

push ebp 

mov ebp, esp 


sub esp, 8 
mov DWORD РТВ rt$[ebp], 0 
mov DWORD РТВ i$[ebp], © 


jmp SHORT $LN4@f 

$LN3@f : 
mov eax, DWORD PTR _i$[ebp] ; инкремент 1 
ааа eax, 1 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


414 


mov 
$. МОЕ: 
стр 
1де 
mov 
mov 
shl 
and 
je 
был 0? 
mov 
add 
mov 
$LN1G@f : 
jmp 
$LN2@f : 
mov 
mov 
pop 
ret 
f ENDP 


DWORD PTR _i$[ebp], eax 


DWORD PTR _i$[ebp], 32 
SHORT $LN2@f 

edx, 1 

ecx, DWORD PTR _i$[ebp] 
edx, cl 

edx, DWORD PTR _a$[ebp] 
SHORT $LN1@f 


eax, DWORD PTR _rt$[ebp] 
eax, 1 
DWORD PTR _rt$[ebp], eax 


SHORT $LN3@f 


eax, DWORD PTR _rt$[ebp] 
esp, ebp 

ebp 

0 


00000020H 
цикл закончился? 


EDX=EDX<<CL 


результат исполнения инструкции AND 


тогда пропускаем следующие команды 
нет, не ноль 
инкремент гї 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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OllyDbg 


Загрузим этот пример B OllyDbg. Входное значение для функции пусть будет 
0х12345678. 


Для 1 = 1, мы видим, как i загружается в ECX: 


CPU - тат thread, module shifts 


-SBEC МОУ ЕВР, ЕР 

ЗЗЕС 08 SUB Е5Р,8 

C745 ЕВ 80001 MOU DWORD РТВ 55: 1 0САЕ.21,8 
C745 РС 89881 МОУ DWORD РТВ ТЕП НЕ: 11,8 
JMP SHORT 002910 

моу ERN. D „ DWORD PTR $$: [LOCAL. 11 


ШЕ РТВ $9S:[LOCAL. 11, EAX 
837D FC 20 DWORD PTR SS:[LOCAL. 11,28 
70 1A SHORT 06029103F 

BA 81908088 

8840 РС 


EDX, 1 2029 
ECH ОМОВО PTR SS: CLOCAL. 11 с ЗСЕЕЕЕЕЕЕЕ› 


5 З(ЕЕЕЕЕЕЕЕ) 
AND EDX, DWORD РТВ $5:[ВЕб.11 р 
2 5НОВТ 99291830 РЕ 

{ Е ТЕРОО8 В ( FFF) 
ØLFFFFFFFF) 


®®®®®®Ф® 
м "уе ж э ж 
< 


< 


ЕОХ= 
Loop 00291016: loop variable C[LOCAL.11(+1) 


RETURN from shi 


›® 


VOTE 


RETURN from shi 
ASCII "рм" 


Рис. 1.98: OllyDbg: i = 1, i загружено B ECX 


EDX содержит 1. Сейчас будет исполнена SHL. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


SHL исполнилась: 


S3EC 08 SUB Е5Р,8 

C745 ЕВ пдд! MOU DWORD РТВ SS:CLOCAL.21,@ 
ЕБ ЕС 08080801 МОМ DWORD РТВ 55: LOCALS 11, 8 
JMP SHORT 98291812 

моу ERK, D DWORD РТВ $S:[LOCAL. 11 


ШЕ РТВ 55: СОСЕ. 11, EAX 
8370 РС 28 DWORD РТВ SS:[LOCAL. 11,28 


7D 1A SHORT 06029103F 

BA 91808008 EDX, 1 

8840 FC ECX, DWORD PTR SS:[LOCAL.1] 
03Е2 

2355 


SHL EDX, СЕ 
98 AND EDX, DWORD РТВ 55: ГАВб. 11 

74 09 JZ SHORT 00291030 

3845 ЕВ nou EAK, DWORD РТВ S$S:[LOCAL.2] 


FACE 212345675 
ЕОХ=00000002 
Loop 88291816: loop variable [LOCAL.1]{+1) 


TELTET 


IP 00291822 


р 


В(ЕРЕЕЕЕЕЕ) 
it ТЕРООВВВСЕЕЕ) 
с ЯСЕРЕРЕРЕЕ) 


90740079000 M 
®@®®Ф@®®®® 


LastErr 
EFL 00000202 ( 


оъ: 4 и. 4 
(Q Һм ) | ВЕТУВМ from 


RETURN from 
ASCII "ро" 


Рис. 1.99: OllyDbg: i = 1, EDX =1<1=2 


EDX содержит 1 < 1 (или 2). Это битовая маска. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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AND устанавливает ZF в 1, что означает, что входное значение (0х12345678) 
умножается! с 2 давая в результате 0: 


CPU - тат thread, module shifts Mie { 


C745 ЕВ 00007 MOU DWORD РТЕ SS:CLOCAL.2],0 
MOU DWORD PTR 55: ELOCAL. 11,0 
JMP SHORT 002910 

Hou EAS, ОШОО PTR SS: ILOCAL. 11 
ADD EAX, 1 

MOU DWORD PTR SS:CLOCAL. 11, EAX 
8370 ЕС га |РСМР DWORD PTR 58: ELOCAC. 12,20 

JGE SHORT 60029103F 

ЁН 51802090 MOU EDX, 1 

8840 ЕС пор ЕС, DWORD PTR $8: LOCAL. 1] 
AND EDX, DWORD РТВ SS:CARG.11 OLFFFFFFFF) 


Jz 00291030 2 
үн ERX, DIORD PTR SS: С.0СА.. 21 A ETETEN 


ØLFFFFFFFF) 
ТЕРООВЯВ(ЕЕЕ) 
ØLFFFFFFFF) 


В "931030 - jumps to shift 
Loop 00291016: loop variable [LOCAL. 1 


РЕ, GE, LE) 4 


RETURN from shi 


23 
JOm 
››— (юр 


RETURN from shi 
ASCII "рМ" 


рр 

› б) б) б) бш 

ЕЕ 
1 


Рис. 1.100: OllyDbg: i = 1, есть ли этот бит во входном значении? Нет. (ZF =1) 


Так что во входном значении соответствующего бита нет. Участок кода, увели- 
чивающий счетчик бит на единицу, не будет исполнен: инструкция JZ обойдет 
его. 


148 Логическое «И» 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Немного потрассируем далее и теперь 4. 


SHL исполнилась: 


СРО - main thread, module shifts 


< 


JMP SHORT РЭВ 
МОУ EAX, DWORD РТВ 55: С_ОСА. 11 


DWORD РТВ SS:[LOCAL. 11, EAX 
837D FC 20 DWORD PTR S$S:[LOCAL. 11,28 
70 1A SHORT 06029103F 
BA 91800008 EDX, 1 
9840 РС ECX, DWORD PTR SS:[LOCAL. 11 
EDX, CL 


AND EDX, DWORD РТВ SS:[ARG.1] 
z SHORT 90221830 


Ы ОВО 


{ 


EDX=1 
Loop 00291016: loop variable [LOCAL.1](+1) 


== 
ос 
фах 


т 
m 
is] 


it ØLFFFFFFFF) 
t В(ЕЕЕЕЕЕЕЕ) 
t В(ЕЕЕЕЕЕЕЕ) 
it В(ЕЕЕЕЕЕЕЕ) 
t ZEFDDØGOLFFF) 
t ВСЕЕЕЕЕЕЕЕ) 


IOO ән 


с 
Р 
A 
т 
D 
0 


RETURN from shi 


RETURN from shi 
ASCII "рМ" 


Рис. 1.101: OllyDbg: i = 4, i загружено B ECX 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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EDX =1 « 4 (или 0x10 или 16): 


< 


TE SHORT ВЧ 1Е 
ор ERR, ДЫДА РТВ $S:[LOCAL.1] 


DWORD РТВ SS:[CLOCAL. 11, EAX 
8370 РС 28 DWORD PTR 55: [Е ОСЯК. 11,28 
70 1A SHORT 06029103F 
BA 81908888 
8840 FC 


EDX, 1 
ECX, DWORD РТВ S$S:[LOCAL. 11 


EDX, CL 
EDX, DWORD PTR SS:[ARG.1] 
J2 SHORT 00291030 
8845 РЗ MoU EAX, DWORD РТВ $$S:[LOCAL.2] 


БЕРГ ЕЕ 12545675 
EDX=00000010 
Loop 00291016: loop variable [LOCAL.1](+1) 


ЕГЕС 


{ 


а o 
нса вме 


80291822 
Е: 


m 


IP 
са 
PO 
яа 
га 
5а 
та 
0а 
ой 


EFL 00000202 (NO, 


Рис. 1.102: OllyDbg: i = 4, EDX =1 < 4 = 0210 


Это ещё одна битовая маска. 


В(ЕЕЕЕЕЕЕЕ) 
В(ЕЕЕЕЕЕЕЕ) 


‚ ØLFFFFFFFF) 
t В(ЕЕЕЕЕЕЕЕ) 
; ТЕРООВОВ(ЕЕЕ) 


В(ЕРЕЕРЕЕЕ) 


RETURN from shi 


RETURN from shi 
ASCII "рма" 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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AND исполнилась: 


CPU - тат thread, module shifts Toxi 


C745 FS @ӨӨӨЙ! МОУ DWORD РТВ SS:[LOCAL.21,0 
C745 ЕС 88001 MOY DWORD PTR SS:[LOCAL.1],0 
EB 09 JMP aT 00029101F 

MOU EAX, DWORD PTR S$S:[LOCAL. 1] 


D ЕВ, 1 
DWORD РТВ SS:CLOCAL. 11, EAX 
ВА 28 DWORD РТВ ТБ о 11,2@ 


НК 802918 
ВЯ 81908888 
8В40 РС 


< 


мн ел, E е 


< 


ECX, ово РТВ $$: С_ОСАГ. 11 


03Е2 EDX, CL 2 
2355.88 АМО EDX, DWORD РТЕ $$: САВ. 11 а ES OLFFFFFFFF) 


Чё SHORT 99; ‹ 
8845 F8 МОМ EAX, сово РТВ $S:[LOCAL.2] я ‹ › OLEEFEFEFE 
830 еі ADD EAS, 1 _ Я(ЕЕЕЕЕЕЕЕ) 
Lul i L ТЕРООВЯВ( FFF) 
ØLFFFFFFFF) 


pest 830 - jumps to shifts 
Loop 00291016: loop variable [LOCAL. 1] 


‚291016 
(+1) 


РЕ РЕ РЕ 


Е 91 йй йй RETURN from shi 


RETURN from shi 


ASCII "рМ" 


Рис. 1.103: OllyDbg: i = 4, есть ли этот бит во входном значении? Да. (ZF =0) 


ZF сейчас 0 потому что этот бит присутствует во входном значении. 
Действительно, 0х12345678 & 0x10 = 0x10. Этот бит считается: переход не 
сработает и счетчик бит будет увеличен на единицу. 


Функция возвращает 13. Это количество установленных бит в значении 0х12345678. 


GCC 


Скомпилируем то же ив GCC 4.4.1: 


Листинг 1.293: ССС 4.4.1 


public f 
f proc near 
rt = dword ptr —0Ch 
i = dword ptr -8 
arg 0 = dword ptr 8 
push ebp 
mov ebp, esp 
push ebx 
sub esp, 10h 
mov [ebp+rt], 
mov [ebp+i], 
jmp short loc 80483ЕҒ 
1ос 8048300: 
mov eax, [ebp+i] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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mov 
mov 
mov 
shl 
mov 
and 
test 
jz 
add 
loc 80483ЕВ: 
add 
loc 80483ЕЕ: 
cmp 
jle 
mov 
add 
pop 
pop 
retn 
f endp 


edx, 1 

ebx, edx 

ecx, eax 

ebx, cl 

eax, ebx 

eax, [ebp+arg_0] 
eax, eax 

short loc 80483ЕВ 
[ebp+rt], 1 
[ebp+i], 1 


[ebp+i], 1Fh 
short 1ос 80483р0 
eax, [ebp+rt] 
esp, 10h 

ebx 

ebp 


x64 


Немного изменим пример, расширив его до 64-х бит: 


#include <stdio.h> 
#include <stdint.h> 


#define 15 _SET(flag, bit) 


int f(uint64 t a) 

{ 
uint64 t i; 
int rt=0; 


for (i=0; i<64; 


if (IS_SET (а, 1ULL<<i)) 


rt++; 


return rt; 


}; 


((#1ад) & (bit)) 


Неоптимизирующий ССС 4.8.2 


Пока всё просто. 


Листинг 1.294: Неоптимизирующий ССС 4.8.2 


push rbp 
mov rbp, 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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тоу QWORD РТА [rbp-24], гаі ; а 
тоу DWORD РТА [rbp-12], 0 ; rt=0 
тоу QWORD РТА [rbp-8], 0 ; 1=0 
jmp ‚12 
‚14: 
mov rax, QWORD PTR [rbp-8] 
mov rdx, QWORD PTR [rbp-24] 
; RAX = i, ВОХ = а 
mov ecx, eax 
; ECX = 1 
shr rdx, cl 
; RDX = RDX>>CL = a>>i 
mov rax, rdx 
; RAX = RDX = a>>i 
and eax, 1 
; EAX = ЕАХ&1 = (а>>1)&1 
test rax, rax 


; последний бит был нулевым? 
; пропустить следующую инструкцию ADD, если это было так. 


је 13 
ааа DWORD PTR [rbp-12], 1 ; rt++ 
.ЕЗ: 
ааа QWORD РТА [rbp-8], 1 ; i++ 
‚12: 
стр QWORD PTR [rbp-8], 63 ; 1<63? 
jbe . L4 ; перейти на начало тела цикла, если 
это так 
mov eax, DWORD РТВ [rbp-12] ; возврат rt 
pop rbp 
ret 


Оптимизирующий GCC 4.8.2 


Листинг 1.295: Оптимизирующий GCC 4.8.2 


f: 
xor eax, eax ; переменная rt будет находиться в регистре 
ич хог есх, есх ; переменная і будет находиться в регистре 
ЕСХ 
13: 
тоу rsi, rdi ; загрузить входное значение 
Теа edx, [гах+1] ; ЕОХ=ЕАХ+1 


; EDX здесь это новая версия rt, 


; которая будет записана в переменную гї, если последний бит был 1 


shr rsi, cl ; RSI=RSI>>CL 
and esi, 1 ; ESI=ESI&1 

; последний бит был 1? Тогда записываем новую версию rt B EAX 
cmovne еах, edx 


add rcx, 1 ; ВСХ++ 

стр гсх, 64 

jne 13 

гер геї ; AKA fatret 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


423 
Код более лаконичный, но содержит одну необычную вещь. Во всех примерах, 
что мы пока видели, инкремент значения переменной «гї» происходит после 
сравнения определенного бита с единицей, но здесь «гї» увеличивается на 1 
до этого (строка 6), записывая новое значение в регистр EDX. 


Затем, если последний бит был 1, инструкция СМО\МЕ"“? (которая синонимична 
СМО\/№715°) фиксирует новое значение «гї» копируя значение из EDX («предпо- 
лагаемое значение гї») в ЕАХ («текущее гї» которое будет возвращено в конце 
функции). Следовательно, инкремент происходит на каждом шаге цикла, т.е. 
64 раза, вне всякой связи с входным значением. 


Преимущество этого кода в том, что он содержит только один условный пере- 
ход (в конце цикла) вместо двух (пропускающий инкремент «Ц» и ещё одного 
в конце цикла). 


И это может работать быстрее на современных СРО с предсказателем перехо- 
дов: 2.4.1 (стр. 586). 


Последняя инструкция это ВЕР ВЕТ (опкод ЕЗ СЗ) которая также называется 
ГАТВЕТ в MSVC. Это оптимизированная версия ВЕТ, рекомендуемая AMD для 


вставки в конце функции, если ВЕТ идет сразу после условного перехода: [Software 


Optimization Guide for AMD Family 16h Processors, (2013)р.15] 121. 


Оптимизирующий MSVC 2010 


Листинг 1.296: Оптимизирующий MSVC 2010 


а$ = 8 
f PROC 
; RCX = входное значение 
хог еах, еах 
тоу edx, 1 
1еа r8d, QWORD РТВ [гах+64] 
; №80=64 
праа 5 
$LL4Gf : 
test rdx, rcx 


; He было такого бита во входном значении? 
; тогда пропустить следующую инструкцию ІМС. 


је SHORT $LN3@f 

inc eax ; rt++ 
$LN3G@f : 

rol rdx, 1 ; RDX=RDX<<1 

dec r8 ; R8-- 

jne SHORT $LL4@f 

fatret 0 
f ENDP 


149Conditional MOVe if Not Equal (MOV если не равно) 
150Conditional MOVe if Not Zero (MOV если не ноль) 
151Больше об этом: http://repzret.org/p/repzret/ 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Здесь используется инструкция ROL вместо SHL, которая на самом деле «rotate 
Іей» (прокручивать влево) вместо «shift Іей» (сдвиг влево), но здесь, в этом 
примере, она работает так же как и SHL. 


Об этих «прокручивающих» инструкциях больше читайте здесь: .1.6 (стр. 1297). 
R8 здесь считает от 64 до 0. Это как бы инвертированная переменная i. 
Вот таблица некоторых регистров в процессе исполнения: 


RDX R8 
0х0000000000000001 | 64 
0x0000000000000002 | 63 
0х0000000000000004 | 62 
0х0000000000000008 | 61 


0х4000000000000000 | 2 
0х8000000000000000 | 1 


В конце видим инструкцию FATRET, которая была описана здесь: 1.28.5 (стр. 423). 


Оптимизирующий М$\С 2012 


Листинг 1.297: Оптимизирующий MSVC 2012 


а$ = 8 
f PROC 
; RCX = входное значение 
хог еах, еах 
тоу edx, 1 
Теа r8d, QWORD РТВ [гах+32] 
; EDX = 1, В8р = 32 
праа 5 
$ш4@1: 
; проход 1 ---------------------------- 
test rdx, rcx 
je SHORT $LN3@f 
inc eax ; rt++ 
$LN3@f 
rol rdx, 1 ; RDX=RDX<<1 
; проход 2 ---------------------------- 
test rdx, rcx 
je SHORT $LN11@f 
inc eax ; rt++ 
$LN11@f: 
rol rdx, 1 ; RDX=RDX<<1 
dec r8 ; R8-- 
jne SHORT $LL4@f 
fatret 0 
f ENDP 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Оптимизирующий М5\С 2012 делает почти то же самое что и оптимизирующий 
МУС 2010, но почему-то он генерирует 2 идентичных тела цикла и счетчик 
цикла теперь 32 вместо 64. Честно говоря, нельзя сказать, почему. Какой-то 
трюк с оптимизацией? Может быть, телу цикла лучше быть немного длиннее? 


Так или иначе, такой код здесь уместен, чтобы показать, что результат компи- 
лятора иногда может быть очень странный и нелогичный, но прекрасно рабо- 
тающий, конечно же. 


ARM + Оптимизирующий Xcode 4.6.3 (ШММ) (Режим АВМ) 


Листинг 1.298: Оптимизирующий Xcode 4.6.3 (ШММ) (Режим ARM) 


MOV R1, RO 

MOV RO, #0 

MOV R2, #1 

MOV АЗ, RO 

loc_2E54 

TST R1, R2,LSL R3 ; установить флаги в 
соответствии C R1 & (R2<<R3) 

ADD R3, R3, #1 ; R3++ 

ADDNE RO, RO, #1 ; если флаг ZF сброшен TST, то 
RO++ 

CMP R3, #32 

BNE loc_2E54 

BX LR 


TST это то же что и TEST B x86. 


Как уже было указано (3.10.3 (стр. 631)), в режиме ARM нет отдельной инструк- 
ции для сдвигов. 


Однако, модификаторами LSL (Logical Shift Left), LSR (Logical Shift Right), ASR 
(Arithmetic Shift Right), ROR (Rotate Right) n RRX (Rotate Right with Extend) можно 
дополнять некоторые инструкции, такие Kak MOV, TST, CMP, ADD, SUB, В$В1??. 


Эти модификаторы указывают, как сдвигать второй операнд, и на сколько. 


Таким образом, инструкция «TST R1, R2,LSL АЗ» здесь работает как В1л^ (Д2 < 
R3). 


ARM + Оптимизирующий Xcode 4.6.3 (LLVM) (Режим Thumb-2) 


Почти такое же, только здесь применяется пара инструкций LSL.W/TST вместо 
одной TST, ведь в режиме Thumb нельзя добавлять модификатор LSL прямо в 
ТУТ. 


MOV R1, RO 
MOVS RO, #0 
MOV.W R9, #1 
MOVS R3, #0 


loc_2F7A 


15?Эти инструкции также называются «data processing instructions» 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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LSL.W R2, R9, R3 
TST R2, R1 
ADD.W R3, R3, #1 
IT NE 

ADDNE RO, #1 

CMP R3, #32 
BNE loc_2F7A 
BX LR 


АКМ64 + Оптимизирующий ССС 4.9 
Возьмем 64-битный пример, который уже был здесь использован: 1.28.5 (стр. 421). 


Листинг 1.299: Оптимизирующий ССС (Linaro) 4.8 


f: 
mov w2, 0 ; rt=0 
mov x5, 1 
mov wl, w2 
‚12: 
151 x4, x5, х1 ; М4 = \5<<м1 = 1<<1 
ааа w3, м2, 1 ; пем гї=гї+1 
151 х4, x0 ; (1<<1) & a 
ааа №1, м1, 1 ; i++ 


; результат TST был ненулевой? 
; тогда м2=м3 или rt=new rt. 
; в противном случае: м2=м2 или гї=гї (холостая операция) 


csel w2, w3, w2, ne 

cmp wl, 64 ; 1<64? 

рпе 12 ; да 

mov w0, w2 ; возврат rt 
геї 


Результат очень похож на тот, что ССС сгенерировал для x64: 1.295 (стр. 422). 
Инструкция CSEL это «Conditional SELect» (выбор при условии). Она просто Bbl- 
бирает одну из переменных, в зависимости от флагов выставленных ТЅТ и ко- 
пирует значение в регистр W2, содержащий переменную «гї». 


АКМ64 + Неоптимизирующий ССС 4.9 


И снова будем использовать 64-битный пример, который мы использовали ра- 
нее: 1.28.5 (стр. 421). Код более многословный, как обычно. 


Листинг 1.300: Неоптимизирующий ССС (Шпаго) 4.8 


Т: 
sub Sp, sp, #32 
str x0, [sp,8] ; сохранить значение "a" B Register Save Area 
str wzr, [5р, 24] ; rt=0 
str wzr, [sp,28] ; 1=0 
b .L2 
‚14: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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ldr мо, [sp,28] 
1 


mov x1, 
151 x0, х1, x0 ; X0 = Х1<<Х0 = 1<<1 
mov х1, x0 
* XL = 1<<1 
ldr x0, [sp,8] 
‚ХӨ = а 
апа х0, х1, x0 


; ХӨ = Х1&Х0 = (1<<1) & a 
ХӨ содержит ноль? тогда перейти на .L3, пропуская инкремент "rt" 


стр х0, xzr 
beq L3 
; rt++ 
ldr w0, [sp,24] 
add w0, м0, 1 
str м0, [5р,24] 
„L3: 
; i++ 
ldr w0, [sp,28] 
add w0, м0, 1 
str мо, [sp,28] 
‚12: 


; 1<=63? тогда перейти на .14 
ldr w0, [5р,28] 
cmp w0, 63 


ble 14 

; возврат гї 
1аг м0, [5р,24] 
ааа Ssp, Sp, 32 
ret 


MIPS 


Неоптимизирующий ССС 


Листинг 1.301: Неоптимизирующий ССС 4.4.5 (IDA) 


f: 

; IDA не знает об именах переменных, мы присвоили их вручную: 

rt = -0х10 

i = —0xC 

маг 4 = -4 

a = 0 
addiu $sp, -0x18 
SW $fp, 0x18+var_4($sp) 
move $fp, $sp 
SW $a0, 0x18+a($fp) 

; инициализировать переменные rt n 1 в ноль: 
Sw $zero, 0x18+rt($fp) 
Sw $zero, 0x18+i($fp) 


; перейти на инструкции проверки цикла: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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b loc_68 
or $at, $zero ; branch delay slot, NOP 
loc_20: 
li $v1, 1 
1м $0, 0х18+1 ($#р) 
ог $at, $хего ; load delay slot, МОР 
sllv $v0, $v1, $\0 
; $v0 = 1<<1 
move $v1, $\0 
1м $0, Өх18+а ($#р) 
ог фаї, $тего ; load delay slot, МОР 
апа $\0, $1, $0 
; $0 = а & (1<<і) 
; а & (1<<1) равен нулю? тогда перейти на loc 58: 
beqz $\0, loc_58 
or $at, $zero 
; переход не случился, это значит что a & (1<<i)!=0, так что инкрементируем 
к 1м $v0, 0x18+rt($fp) 
or $at, $zero ; load delay slot, NOP 
addiu $v0, 1 
SW $у0, 0x18+rt($fp) 
loc 58: 
; инкремент 1: 
1м $0, 0х18+1 ($#р) 
ог фаф, $хего ; load delay slot, NOP 
addiu $v0, 1 
SW $у0, 0x18+i($fp) 


loc 68: 


; загрузить 1 n сравнить его c 0x20 (32). 
; перейти на loc 20, если это меньше чем 0x20 (32): 


1м 
ог 
$141 
bnez 
or 


$у0, 0x18+i($fp) 

$at, $zero ; load delay slot, NOP 
$v0, 0x20 #' ' 

$у0, loc 20 

$аї, $хего ; branch delay slot, МОР 


; эпилог функции. возврат rt: 


1м 
move 
1м 
addiu 
jr 
or 


$у0, 0x18+rt($fp) 


$sp, $fp ; load delay slot 

$fp, 0x18+var_4($sp) 

$sp, 0x18 ; load delay slot 

$ra 

$at, $zero ; branch delay slot, NOP 


Это многословно: все локальные переменные расположены в локальном CTE- 
ке и перезагружаются каждый раз, когда нужны. Инструкция SLLV это «Shift 
Мога Left Logical Variable», она отличается от SLL только тем что количество 
бит для сдвига кодируется в 511 (и, следовательно, фиксировано), а 511 берет 


количество из регистра. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Оптимизирующий ССС 


Это более сжато. Здесь две инструкции сдвигов вместо одной. Почему? Мож- 
но заменить первую инструкцию SLLV на инструкцию безусловного перехода, 
передав управление прямо на вторую SLLV. 


Но это ещё одна инструкция перехода в функции, а от них избавляться всегда 
выгодно: 2.4.1 (стр. 586). 


Листинг 1.302: Оптимизирующий ССС 4.4.5 (IDA) 


f: 

; $a0=a 

; переменная гї будет находиться в $vO: 
move $\0, $zero 

; переменная і будет находиться в $\1: 
move $v1, $zero 
li $10, 1 
li $a3, 32 


sllv $al, $t0, $v1 
; $al = $t0<<$v1 = 1<<1 


loc_14: 
and $al, $a0 
; $al = а&(1<<1) 
; инкремент 1: 
addiu $v1, 1 
; переход Ha loc 28 если а&(1<<1)==0 и инкремент rt: 
beqz $al, loc 28 
addiu $a2, $v0, 1 
; если BEQZ не сработала, сохранить обновленную rt в $vO: 


поме $\0, $а2 
Тос 28: 
; если 1!=32, перейти на loc 14 а также подготовить следующее сдвинутое 
значение: 
bne $v1, $a3, loc_14 
sllv $al, $t0, $v1 
; возврат 
jr $ra 
or $at, $zero ; branch delay slot, NOP 


1.28.6. Вывод 


Инструкции сдвига, аналогичные операторам Си/Си++< и >, в х86 это SHR/SHL 
(для беззнаковых значений), SAR/SHL (для знаковых значений). 


Инструкции сдвига в ARM это LSR/LSL (для беззнаковых значений), ASR/LSL (для 
знаковых значений). 


Можно также добавлять суффикс сдвига для некоторых инструкций (которые 
называются «data processing instructions»). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Проверка определенного бита (известного на стадии компиляции) 
Проверить, присутствует ли бит 061000000 (0х40) в значении в регистре: 


Листинг 1.303: Си/Си++ 


if (input&0x40) 


Листинг 1.304: x86 


TEST REG, 40h 
JNZ is_set 
; бит не установлен 


Листинг 1.305: х86 


TEST REG, 40h 
JZ is_cleared 
; бит установлен 


Листинг 1.306: АВМ (Режим АВМ) 


TST REG, #0х40 
BNE 15 set 
р бит не установлен 


Иногда AND используется вместо TEST, но флаги выставляются точно также. 


Проверка определенного бита (заданного во время исполнения) 


Это обычно происходит при помощи вот такого фрагмента на Си/Си++(сдвинуть 
значение на n бит вправо, затем отрезать самый младший бит): 


Листинг 1.307: Си/Си++ 


if ((уа\ие>>п)&1) 


Это обычно реализуется в х86-коде так: 


Листинг 1.308: х86 


; REG=input value 


; CL=n 
SHR REG, CL 
AND REG, 1 


Или (сдвинуть 1 п раз влево, изолировать этот же бит во входном значении и 
проверить, не ноль ли он): 


Листинг 1.309: Си/Си++ 


if (value & (1<<п)) 
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Это обычно так реализуется в х86-коде: 


Листинг 1.310: х86 


; Сі=п 
МО\ ВЕС, 1 
SHL REG, CL 


AND input_value, REG 


Установка определенного бита (известного во время компиляции) 


Листинг 1.311: Си/Си++ 


уа\ие=\уа\ие | 90х40; 


Листинг 1.312: х86 


OR REG, 40h 


Листинг 1.313: ARM (Режим ARM) n ARM64 


ORR RO, RO, #0x40 


Установка определенного бита (заданного во время исполнения) 


Листинг 1.314: Си/Си++ 


уа\ие=уа1ие | (1<<п); 


Это обычно так реализуется в х86-коде: 


Листинг 1.315: х86 


; Сі=п 
МО\ ВЕС, 1 
SHL REG, CL 


OR input_value, REG 


Сброс определенного бита (известного во время компиляции) 


Просто исполните операцию логического «И» (AND) с инвертированным значе- 
нием: 


Листинг 1.316: Си/Си++ 


уа\ие=уа\ие&(-0х40); 


Листинг 1.317: х86 


AND REG, OFFFFFFBFh 
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Листинг 1.318: x64 


АМО ВЕС, ӨҒЕҒЕҒЕҒЕҒЕҒЕҒЕВЕҺ 


Это на самом деле сохранение всех бит кроме одного. 


В ARM в режиме ARM есть инструкция ВТС, работающая как две инструкции 
МОТ +АМО: 


Листинг 1.319: АВМ (Режим АВМ) 


ВТС RO, RO, #0х40 


Сброс определенного бита (заданного во время исполнения) 


Листинг 1.320: Си/Си++ 


уа1ие=уа\ие&(- (1<<п)); 


Листинг 1.321: х86 


s СЕЙ 

МО\/ ВЕС, 1 
SHL REG, CL 
NOT REG 


AND input_value, REG 


1.28.7. Упражнения 


• Пр: //сһа11епдеѕ. ге/67 
e Пр: //сһа11епдеѕ. ге/68 
e Пр: //сһа11епдеѕ. ге/69 
• Пр: //сһа11епдеѕ. ге/ 70 


1.29. Линейный конгруэнтный генератор как гене- 
ратор псевдослучайных чисел 

Линейный конгруэнтный генератор, пожалуй, самый простой способ генериро- 

вать псевдослучайные числа. 


Он не в почете в наше время"?3, но он настолько прост (только одно умноже- 
ние, одно сложение и одна операция «И»), что мы можем использовать его в 
качестве примера. 


153Вихрь Мерсенна куда лучше 
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#include <stdint.h> 

// константы из книги Numerical Recipes 
#define ВМ№б а 1664525 

#define RNG с 1013904223 


static иіпї32 1 rand_state; 


void ту ѕгапа (иіпі32 + init) 


{ 
гапа ѕ?Тате=іпії; 
} 
int ту гапа () 
{ 
гапа_<Хате=гапа_<1Тате*АМС а; 
rand_state=rand_state+RNG с; 
return rand_state & 0x7fff; 
} 


Здесь две функции: одна используется для инициализации внутреннего состо- 
яния, а вторая вызывается собственно для генерации псевдослучайных чисел. 


Мы видим, что в алгоритме применяются две константы. Они взяты из [William 
Н. Press апа Saul А. Teukolsky and William Т. Vetterling and Brian Р. Flannery, 
Numerical Recipes, (2007)]. Определим их используя выражение Cn/Cn++#define. 
Это макрос. 


Разница между макросом в Си/Си++и константой в том, что все макросы за- 
меняются на значения препроцессором Си/Си++и они не занимают места в 
памяти как переменные. 


А константы, напротив, это переменные только для чтения. 


Можно взять указатель (или адрес) переменной-константы, но это невозможно 
сделать с макросом. 


Последняя операция «И» нужна, потому что согласно стандарту Си ту_гапа() 
должна возвращать значение в пределах 0..32767. 


Если вы хотите получать 32-битные псевдослучайные значения, просто убери- 
те последнюю операцию «И». 


1.29.1. х86 


Листинг 1.322: Оптимизирующий MSVC 2013 


_В55 SEGMENT 
_rand_state DD 01H DUP (?) 


_В55 ENDS 
_init$ = 8 
_5гапа PROC 
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mov eax, DWORD PTR _init$[esp-4] 
mov DWORD PTR _rand_state, eax 
ret 0 

_5гапа ЕМОР 

_ТЕХТ SEGMENT 

_гапа PROC 
imul eax, DWORD PTR _rand_state, 1664525 
add eax, 1013904223 ; 3c6ef35fH 
mov DWORD PTR _rand_state, eax 
and eax, 32767 ; 00007fffH 
ret 0 

_гапа ЕМОР 

_ТЕХТ ENDS 


Вот мы это и видим: обе константы встроены в код. 


Память для них не выделяется. Функция ту ѕгапа() просто копирует входное 
значение во внутреннюю переменную гапа ѕ+аїе. 


пу гапа() берет её, вычисляет следующее состояние гапа ѕ?аїе, обрезает его 
и оставляет в регистре ЕАХ. 


Неоптимизированная версия побольше: 


Листинг 1.323: Неоптимизирующий MSVC 2013 


_В55 SEGMENT 
_rand_state DD 01H DUP (?) 


_ BSS ENDS 

_init$ = 8 

_5гапа PROC 
push ebp 
mov ebp, esp 
mov eax, DWORD PTR _init$[ebp] 
mov DWORD PTR _rand_state, eax 
pop ebp 
ret 0 

_5гапа ЕМОР 

_ТЕХТ SEGMENT 

_гапа PROC 
push ebp 
mov ebp, esp 
imul eax, DWORD PTR _rand_state, 1664525 
mov DWORD PTR _rand_state, eax 
mov ecx, DWORD PTR _rand_state 
add ecx, 1013904223 ; 3c6ef35fH 
mov DWORD PTR _rand_state, ecx 
mov eax, DWORD PTR _rand_state 
and eax, 32767 ; 00007fffH 
pop ebp 
ret 0 
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_гапа ENDP 


_ТЕХТ ENDS 


1.29.2. х64 


Версия для х64 почти такая же, и использует 32-битные регистры вместо 64- 
битных (потому что мы работаем здесь с переменными типа int). 


Но функция ту_5гапа () берет входной аргумент из регистра ECX, а не из стека: 


Листинг 1.324: Оптимизирующий М5\С 2013 x64 


_В55 SEGMENT 
rand_state DD 01Н DUP (?) 
_В55 ENDS 


init$ = 8 

my_srand PROC 

; ECX = входной аргумент 
mov DWORD PTR гапа _ state, ecx 
ret 0 

ту гапа ЕМОР 


_ТЕХТ SEGMENT 
ту гапа PROC 
imul eax, DWORD PTR rand_state, 1664525 ; 0019660dH 


add eax, 1013904223 ; 3c6ef35fH 
mov DWORD PTR rand_state, eax 
and eax, 32767 ; 00007fffH 
ret 0 


ту гапа ЕМОР 


_ТЕХТ ENDS 


ССС делает почти такой же код. 


1.29.3. 32-bit АКМ 


Листинг 1.325: Оптимизирующий Кей 6/2013 (Режим АВМ) 


ту ѕгапа PROC 


LDR r1, |10.52| ; загрузить указатель на гапа state 
STR го, [г1,#0] ; сохранить rand state 
BX lr 
ENDP 
my_rand PROC 
LDR го, |10.52| ; загрузить указатель на гапа state 
LDR r2,|L0.56| ; загрузить RNG а 
LDR rl,[r0,#0] ; загрузить rand state 
MUL rl,r2,r1 
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LDR r2, |10.60| ; загрузить RNG с 
ADD г1,г1,г2 
STR rl, [r0,#0] ; сохранить rand state 
; AND c 0x7FFF: 
LSL г0,г1,#17 
LSR го, го, #17 
ВХ 1г 
ЕМОР 
[10.52 | 
DCD ||.Зажа| | 
[10.56 | 
рср 0х0019660а 
1.0.60 | 
рср 0x3c6ef35f 
AREA ||.data||, DATA, ALIGN=2 
rand_state 


DCD 0x00000000 


B ARM инструкцию невозможно встроить 32-битную константу, так что Keil-y 
приходится размещать их отдельно и дополнительно загружать. Вот еще что 
интересно: константу 0x7FFF также нельзя встроить. Поэтому Кей сдвигает 
гапа ѕ+аїе влево на 17 бит и затем сдвигает вправо на 17 бит. Это аналогично 
Си/Си+ +-выражению (гапа ѕѓаіе < 17) > 17. Выглядит как бессмысленная опера- 
ция, но тем не менее, что она делает это очищает старшие 17 бит, оставляя 
младшие 15 бит нетронутыми, и это наша цель, в конце концов. 


Оптимизирующий Keil для режима Thumb делает почти такой же код. 


1.29.4. МІРЅ 


Листинг 1.326: Оптимизирующий ССС 4.4.5 (IDA) 


пу ѕгапа: 
‚; записать $аб в гапа state: 
lui $у0, (rand_state >> 16) 
jr $ra 
SW $a0, rand_state 
my_rand: 
; загрузить rand state в $\0: 
lui $\1, (rand_state >> 16) 
lw $у0, rand_state 
or $at, $zero ; load delay slot 
; умножить rand state в $\0 на 1664525 (RNG а): 
sll $al, $\0, 2 
sll $а0, $у0, 4 
addu $a0, $al, $a0 
sll $al, $a0, 6 


subu $a0, $al, $a0 
addu фаб, $у0 
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sll $al, $a0, 5 
addu фаб, $al 

sll $a0, 3 

addu $у0, $a0, $\0 
sll фаб, $у0, 2 


addu $\0, $а0 
; прибавить 1013904223 (RNG c) 
; инструкция LI объединена B IDA из LUI n ORI 
li фаб, 0x3C6EF35F 
addu $v0, $а0 
; сохранить B rand state: 
SW $у0, (rand_state & 0OxFFFF)($v1) 
jr $ra 
andi $v0, 0x7FFF ; branch delay slot 


Ух, мы видим здесь только одну константу (ОхЗСбЕЕЗ5Ғ или 1013904223). Где 
же вторая (1664525)? 


Похоже, умножение на 1664525 сделано только при помощи сдвигов и прибав- 
лений! 


Проверим эту версию: 


#define ВМ№б а 1664525 


int f (int а) 


{ 
return a*xRNG а; 
} 
Листинг 1.327: Оптимизирующий ССС 4.4.5 (IDA) 

f: 

sll $v1, $a0, 2 

sll $у0, $a0, 4 

addu $у0, $v1, $\%0 

sll $v1, $\0, 6 

subu $v0, $v1, $\%0 

addu $\0, $а0 

sll $v1, $v0, 5 

addu $v0, $у1 

sll $v0, 3 

addu фаб, $v0, $a0 

sll $v0, $a0, 2 

jr $ra 

addu $v0, $a0, $70 ; branch delay slot 
Действительно! 


Перемещения в MIPS («геос$») 


Ещё поговорим о том, как на самом деле происходят операции загрузки из 
памяти и запись в память. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Листинги здесь были сделаны в IDA, которая убирает немного деталей. 


Запустим оаитр дважды: чтобы получить дизассемблированный листинг и 
список перемещений: 


Листинг 1.328: Оптимизирующий ССС 4.4.5 (орјаитр) 


# об] аитр -D гапа 03.о 


00000000 <ту ѕгапа>: 


0: 3с020000 lui v0, 0х0 

4: 03e00008 jr ra 

8: ac440000 Sw a0,0(v0) 

0000000c <my_rand>: 

с: 3c030000 lui v1,0x0 
10: 8c620000 1м м0,0(%1) 
14: 00200825 поме аї,аї 
18: 00022880 sll al,v0,0x2 
1с: 00022100 sll аб, v0,0x4 
20: 00a42021 addu a0,al,a0 
24: 00042980 sll al,a0,0x6 
28: 00a42023 subu a0,al,a0 
2c: 00822021 addu a0,a0,v0 
30: 00042940 sll al,a0,0x5 
34: 00852021 addu a0,a0,al 
38: 000420c0 sll a0,a0, 0x3 
3c: 00821021 addu \0, аб, м0 
40: 00022080 sll a0,v0,0x2 
44: 00441021 addu v0, \0, ад 
48: 3с043сбе lui ао, 0x3c6e 
4с: 34841351 ori a0,a0,0xf35f 
50: 00441021 addu v0, \0 ‚ад 
54: асб20000 SW \0,0(\1) 
58: 03е00008 jr ra 
5c: 30427fff andi vO, м0, 0x7fff 


# objdump -r гапа 03.о 


RELOCATION RECORDS FOR [.text]: 


OFFSET TYPE VALUE 
00000000 R МІРЅ НІ16 „bss 
00000008 R MIPS L016 „bss 
0000000с R MIPS НІ16 „bss 
00000010 R MIPS L016 „bss 
00000054 R MIPS L016 „bss 
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Рассмотрим два перемещения для функции ту ѕгапа(). 


Первое, для адреса 0, имеет тип К МІРЅ5 НІ16, и второе, для адреса 8, имеет 
тип К МТР$ 1016. 


Это значит, что адрес начала сегмента .bss будет записан в инструкцию по 
адресу 0 (старшая часть адреса) и по адресу 8 (младшая часть адреса). 


Ведь переменная гапа ѕїаїе находится в самом начале сегмента .bss. 


Так что мы видим нули в операндах инструкций ШІ и SW потому что там пока 
ничего нет — компилятор не знает, что туда записать. 


Линкер это исправит и старшая часть адреса будет записана в операнд ин- 
струкции ШТ и младшая часть адреса — в операнд инструкции SW. 


SW просуммирует младшую часть адреса и то что находится в регистре $\0 
(Там старшая часть). 


Та же история и с функцией ту гапа(): перемещение В_МР$_Н!16 указывает 
линкеру записать старшую часть адреса сегмента .bss в инструкцию ШІ. 


Так что старшая часть адреса переменной гапа _<їаїе находится в регистре 
$\1. 


Инструкция LW по адресу 0x10 просуммирует старшую и младшую часть и 3a- 
грузит значение переменной rand_state в $\/0. 


Инструкция SW по адресу 0x54 также просуммирует и затем запишет новое 
значение в глобальную переменную гапа <їаїе. 


IDA обрабатывает перемещения при загрузке, и таким образом эти детали 
скрываются. 


Но мы должны о них помнить. 


1.29.5. Версия этого примера для многопоточной среды 


Версия примера для многопоточной среды будет рассмотрена позже: 6.2.1 
(стр. 952). 


1.30. Структуры 
В принципе, структура в Си/Си+ +это, с некоторыми допущениями, просто BCe- 


гда лежащий рядом, и в той же последовательности, набор переменных, не 
обязательно одного типа 15. 


1.30.1. М$УС: Пример 5ҮЅТЕМТІМЕ 


Возьмем, к примеру, структуру 5У5ТЕМТИМЕ"?? из win32 описывающую время. 


Она объявлена так: 


154АКА «гетерогенный контейнер» 
155MSDN: ЅҮЅТЕМТІМЕ structure 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


440 


Листинг 1.329: WinBase.h 


typedef struct _ЅҮЅТЕМТІМЕ { 


WORD 
WORD 
WORD 
WORD 
WORD 
WORD 
WORD 
WORD 


wYear; 

wMonth; 
wDay0fWeek; 
wDay; 

wHour; 
wMinute; 
wSecond; 
wMilliseconds; 


} SYSTEMTIME, »PSYSTEMTIME; 


Пишем на Си функцию для получения текущего системного времени: 


#include <windows . ћ> 
#include <stdio.h> 


void main() 


{ 
SYSTEMTIME t; 
GetSystemTime (&t); 
printf ("%04d-%02d-%02d %02d:%02d:%02d\n", 
t.wYear, t.wMonth, t.wDay, 
t.wHour, t.wMinute, t.wSecond); 
return; 
}; 


Что в итоге (М$\С 2010): 
Листинг 1.330: MSVC 2010 /GS- 


t$ = -16 ; size = 16 


_main PROC 
push ebp 
mov ebp, esp 
sub esp, 16 
lea eax, DWORD PTR _t$[ebp] 
push eax 
call DWORD PTR __1тр_ GetSystemTime@4 
movzx ecx, WORD PTR t$[ebp+12] ; wSecond 
push ecx 
movzx edx, WORD PTR t$[ebp+10] ; wMinute 
push edx 
movzx eax, WORD PTR t$[ebp+8] ; wHour 
push eax 
movzx ecx, WORD PTR t$[ebp+6] ; wDay 
push ecx 
movzx edx, WORD PTR t$[ebp+2] ; wMonth 
push edx 
movzx eax, WORD РТВ t$[ebp] ; wYear 
push eax 
push OFFSET $5678811 ; '%04d-%02d-%02d %02d:%02d:%02d', бан, оон 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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call printf 
add esp, 28 
xor eax, eax 
mov esp, ebp 
pop ebp 
ret 0 

_та1п ЕМОР 


Под структуру в стеке выделено 16 байт — именно столько будет sizeof (МОВр ) *8 
(в структуре 8 переменных с типом WORD). 


Обратите внимание на тот факт, что структура начинается с поля мҮеаг. Мож- 
но сказать, что в качестве аргумента для беїЅуѕёетТіте ( ) 156 передается ука- 
затель на структуру ЅҮЅТЕМТІМЕ, но можно также сказать, что передается ука- 
затель на поле м\еаг, что одно и тоже! GetSystemTime() пишет текущий год в 
тот WORD на который указывает переданный указатель, затем сдвигается на 
2 байта вправо, пишет текущий месяц, и т. D., ит. п. 


156MSDN: GetSystemTime function 
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OllyDbg 


Компилируем этот пример в MSVC 2010 с ключами /65- /MD и запускаем в 
OllyDbg. Открываем окна данных и стека по адресу, который передается в каче- 
стве первого аргумента в функцию беїЅуѕТетТіте (), ждем пока эта функция 
исполнится, и видим следующее: 


СРО - тат thread, =— о 


Registers (FPU) 
IX Өй2ЕРБЫФ 
41 сх 08890304 
ге ЕВ, ваевавав 

Ы<АКЕННЫ Эг. беки зкен SP Ө@2ЕРВЬФ 


: [EST 2006668 
} $$: ILOCAL. 2+2] ; EDI 99993398 syster 
: [LOCAL. 21] | 00991010 
ПСА! 2+2 | св ØLFFFFFFFF) 
: [LOCAL. 3+2] Е > ØLFFFFFFFF) 
S ОСА > A G ØLFFFFFFFF) 
5: [LOCAL. 4+2] @(ЕЕЕЕЕЕЕЕ) 
2 РЕРООВВВ(ЕЕЕ) 
@(ЕЕЕЕЕЕРЕ) 


_5ШССЕ55 
РЕ, GE, LE) 


ЖЕНЕВЕ 5? оС аа йг 00 93 аа 15 Е 10 д0 54 08 04 8 


. + 
О иг. na в 


Рис. 1.104: OllyDbg: GetSystemTime() только что исполнилась 


Точное системное время на моем компьютере, в которое исполнилась функция, 
это 9 декабря 2014, 22:29:52: 


Листинг 1.331: Вывод printf() 


2014-12-09 22:29:52 


Таким образом, в окне данных мы видим следующие 16 байт: 


DE 07 ӨС 00 02 00 09 00 16 00 1р 00 34 00 D4 03 


Каждые два байта отражают одно поле структуры. А так как порядок байт 
(епаіаппеѕѕ) ///е endian, то в начале следует младший байт, затем старший. 
Следовательно, вот какие 16-битные числа сейчас записаны в памяти: 


Шестнадцатеричное число | десятичное число | имя поля 
0х07рЕ 2014 м/Уеаг 
0х000с 12 wMonth 
0x0002 2 wDayOfWeek 
0x0009 9 wDay 
0x0016 22 wHour 
0х0010 29 wMinute 
0x0034 52 wSecond 
0x03D4 980 wMilliseconds 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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В окне стека, видны те же значения, только они сгруппированы как 32-битные 
значения. 


Затем ргіпі# () просто берет нужные значения и выводит их на консоль. 


Некоторые поля printf() не выводит (wDayOfWweek и wMilliseconds), но они 
находятся в памяти и доступны для использования 


Замена структуры массивом 


Тот факт, что поля структуры — это просто переменные расположенные рядом, 
легко проиллюстрировать следующим образом. 


Глядя на описание структуры 5ҮЅТЕМТІМЕ, можно переписать этот простой npn- 
мер так: 


#include <windows .h> 
#include <stdio.h> 


void main() 


WORD array[8]; 
GetSystemTime (array); 


printf ("%04d-%02d-%02d %02d:%02d:%02d\n", 
array[0] /* wYear */, array[1] /* wMonth */, array[3] /* wDay */, 
array[4] /* wHour */, array[5] /* wMinute */, array[6] /* wSecond 2 
> */); 


return; 


}; 


Компилятор немного ворчит: 


ѕуѕіетёіте2.с(7) : warning C4133: 'Ғипсііоп' : incompatible types – from '/ 
S WORD [8]' to 'LPSYSTEMTIME' 


Тем не менее, выдает такой код: 


Листинг 1.332: Неоптимизирующий М5\С 2010 


$5678573 ОВ '%044-%024-%024 %024:%024:%024', бан, ӨӨН 
_аггау$ = -16 ; size = 16 
_таіп PROC 

push ebp 

mov ebp, esp 

sub esp, 16 

lea eax, DWORD PTR _array$[ebp] 

push eax 


call DWORD РТА __1тр_ GetSystemTime@4 

movzx ecx, WORD РТВ аггау$[ерр+12] ; wSecond 
push ecx 

movzx edx, WORD РТВ array$[ebp+10] ; wMinute 
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push edx 
movzx eax, WORD РТВ _array$[ebp+8] ; wHoure 
push eax 
movzx есх, WORD РТВ аггау$[ерр+6] ; wDay 
push ecx 
movzx edx, WORD PTR аггау$[ерр+2] ; wMonth 
push edx 
movzx eax, WORD РТВ аггау$[ерр] ; wYear 
push eax 
push OFFSET $5678573 ; '%04d-%02d-%02d %02d:%02d:%02d', дан, ӨӨН 
call _printf 
add esp, 28 
xor eax, eax 
mov esp, ebp 
pop ebp 
ret 0 

_таіп  ЕМОР 


И это работает так же! 


Любопытно что результат на ассемблере неотличим от предыдущего. Таким 
образом, глядя на этот код, никогда нельзя сказать с уверенностью, была ли 
там объявлена структура, либо просто набор переменных. 


Тем не менее, никто в здравом уме делать так не будет. 


Потому что это неудобно. К тому же, иногда, поля в структуре могут меняться 
разработчиками, переставляться местами, и т. д. 


С OllyDbg этот пример изучать не будем, потому что он будет точно такой же, 
как и в случае со структурой. 


1.30.2. Выделяем место для структуры через таНос() 


Однако, бывает и так, что проще хранить структуры не в стеке, а в куче: 


#include <windows . ћ> 
#include <stdio.h> 


void main() 
{ 
SYSTEMTIME ж*; 
t=(SYSTEMTIME *)та11ос (sizeof (SYSTEMTIME)); 
GetSystemTime (t); 
printf ("%04d-%02d-%02d %02d:%02d:%02d\n", 
t->wYear, t->wMonth, t->wDay, 
t->wHour, t->wMinute, t->wSecond); 


free (t); 


return; 
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12; 


Скомпилируем на этот раз с оптимизацией (/0х) чтобы было проще увидеть то, 


что нам нужно. 


Листинг 1.333: Оптимизирующий MSVC 


_та1п PROC 
push esi 
push 16 
call malloc 
add esp, 4 
mov esi, eax 
push esi 


call DWORD PTR 
movzx eax, WORD 
movzx ecx, WORD 
movzx edx, WORD 


push eax 
movzx eax, WORD 
push ecx 
movzx ecx, WORD 
push edx 
movzx edx, WORD 
push eax 
push ecx 
push edx 


call printf 


push ез1 
call free 
add esp, 32 
xor eax, eax 
pop esi 
ret 0 

_та1п ЕМОР 


__1тр_ GetSystemTime@4 
РТВ [esi+12] ; мЅесопа 
РТВ [е$51+10] ; wMinute 
РТВ [е51+8] ; мНоиг 
РТВ [е51+6] ; мрау 

РТВ [е$51+2] ; wMonth 


РТВ [esi] ; мҮеаг 


push OFFSET $$678833 


Итак, sizeof (SYSTEMTIME) = 16, именно столько байт выделяется при помощи 
та11ос(). Она возвращает указатель на только что выделенный блок памяти в 
EAX, который копируется в ESI. Win32 функция GetSystemTime() обязуется co- 


хранить состояние Е 


51, поэтому здесь оно нигде не сохраняется и продолжает 


использоваться после вызова беїЅуѕТеттТіте (). 


Новая инструкция 


— МО\У7Х (Move with Zero е{епа). Она нужна почти там 


же где и МО\5Х, только всегда очищает остальные биты в О. Дело в том, что 
ргіпі?() требует 32-битный тип int, а в структуре лежит WORD — это 16- 
битный беззнаковый тип. Поэтому копируя значение из WORD в int, нужно очи- 


стить биты от 16 до 


31, иначе там будет просто случайный мусор, оставшийся 


от предыдущих действий с регистрами. 


В этом примере можно также представить структуру как массив 8-и WORD-oB: 


#include <windows .h> 
#include <stdio.h> 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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void main() 


}; 


WORD ж; 
t=(WORD ж)та11ос (16); 
GetSystemTime (+); 
printf ("%044-%024-%024а %02d:%02d:%02d\n", 
+[0] /* wYear */, t[1] /* wMonth */, t[3] /* wDay */, 
t[4] /* wHour */, t[5] /* wMinute ж/, t[6] /* wSecond */); 
free (t); 


return; 


Получим такое: 


Листинг 1.334: Оптимизирующий MSVC 


$5678594 рв '%044-%024-%024 %024:%024:%024', бан, 00H 
_таіп PROC 

push esi 

push 16 

call _malloc 

add esp, 4 

mov esi, eax 

push esi 


call DWORD РТА __1тр_ GetSystemTime@4 
тоу2х eax, WORD РТВ [е$1+12] 

тоу2х ecx, МОВО РТВ [еѕ1+10] 

тоу2х edx, WORD РТВ [еѕ1+8] 


push eax 
тоу2х eax, WORD РТВ [е$1+6] 
push ecx 
тоу2х ecx, WORD РТВ [е$1+2] 
push edx 
тоу2х edx, WORD РТВ [esi] 
push eax 
push ecx 
push edx 
push OFFSET $5678594 
call _printf 
push esi 
call _free 
add esp, 32 
xor eax, eax 
pop esi 
ret 0 
_таіп ЕМОР 
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И снова мы получаем идентичный код, неотличимый от предыдущего. 


Но и снова нужно отметить, что в реальности так лучше не делать, если только 
вы не знаете точно, что вы делаете. 

1.30.3. UNIX: struct tm 

Linux 


В Линуксе, для примера, возьмем структуру tm из time.h: 


#include <stdio.h> 
#include <time.h> 


void main() 


{ 
struct tm t; 
time_t unix_time; 
unix_time=time (NULL); 
localtime_r (&unix_time, &t); 
printf ("Year: %d\n", t.tm year+1900); 
printf ("Month: %d\n", t.tm_mon); 
printf ("Day: %d\n", t.tm mday); 
printf ("Hour: %d\n", t.tm_hour); 
printf ("Minutes: %d\n", t.tm min); 
printf ("Seconds: %d\n", t.tm_sec); 
}; 


Компилируем при помощи ССС 4.4.1: 
Листинг 1.335: ССС 4.4.1 


паіп ргос пеаг 


push ebp 

mov ebp, esp 

and esp, OFFFFFFFOh 

sub esp, 40h 

mov dword ptr [esp], 0 ; первый аргумент для time() 

call time 

mov [esp+3Ch], eax 

lea eax, [esp+3Ch] ; берем указатель на то что вернула time() 

Теа edx, [еѕр+10һ] ; по ЕЅР+10һ будет начинаться структура struct 
т ay [езр+4], edx ; Передаем указатель на начало структуры 

mov [esp], eax ; Передаем указатель на результат time() 

call localtime_r 

mov eax, [esp+24h] ; tm year 

lea edx, [eax+76Ch] ; edx=eax+1900 

mov eax, offset format ; "Year: %d\n" 

mov [esp+4], edx 

mov [esp], eax 
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call printf 


mov edx, [esp+20h] ; tm_mon 
mov eax, offset aMonthD ; "Month: %d\n" 
mov [esp+4], edx 
mov [esp], eax 
call printf 
mov edx, [esp+1Ch] ; tm тдау 
mov eax, offset aDayD ; "Day: %d\n" 
mov [esp+4], edx 
mov [esp], eax 
call printf 
mov edx, [esp+18h] ; tm_hour 
mov eax, offset aHourD ; "Hour: %d\n" 
mov [esp+4], edx 
mov [esp], eax 
call printf 
mov edx, [esp+14h] ; tm min 
mov eax, offset aMinutesD ; "Minutes: %d\n" 
mov [esp+4], edx 
mov [esp], eax 
call printf 
mov edx, [esp+10h] 
mov eax, offset aSecondsD ; "Seconds: %d\n" 
mov [esp+4], edx ; tm бес 
mov [esp], eax 
call printf 
leave 
retn 
main endp 


К сожалению, по какой-то причине, IDA не сформировала названия локальных 
переменных в стеке. Но так как мы уже опытные реверсеры :-) то можем обой- 
тись и без этого в таком простом примере. 


Обратите внимание на lea edx, [еах+76Сһ] — эта инструкция прибавляет 
0х76С (1900) к EAX, но не модифицирует флаги. См. также соответствующий 
раздел об инструкции LEA (.1.6 (стр. 1288)). 


СОВ 


Попробуем загрузить пример в GDB 157; 


Листинг 1.336: СОВ 


dennis@ubuntuvm:~/polygon$ date 

Mon Jun 2 18:10:37 EEST 2014 
dennis@ubuntuvm:~/polygon$ gcc GCC т.с -o ССС tm 
dennis@ubuntuvm:~/polygon$ gdb ССС tm 

GNU gdb (GDB) 7.6.1-ибипфи 


157Результат работы date немного подправлен в целях демонстрации. Конечно же, в реальности, 
нельзя так быстро запустить СОВ, чтобы значение секунд осталось бы таким же. 
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Reading symbols from /һоте/деппіѕ /ро1удоп/ССС т... (по debugging symbols и 
S Тоипа)...аопе. 

(gdb) b printf 

Breakpoint 1 at 0x8048330 

(gdb) run 

Starting program: /home/dennis/polygon/GCC_ tm 


Breakpoint 1, _ printf (format=0x80485c0 "Year: %d\n") at printf.c:29 
29 printf.c: No such file or directory. 
(gdb) x/20x $esp 


OxbffffOdc: 0x080484c3 0x080485c0 0x000007de 0x00000000 
Oxbffff0ec: 0x08048301 0x538c93ed 0x00000025 0x0000000a 
OxbffffOfc: 0x00000012 0x00000002 0x00000005 0x00000072 
Oxbffff10c: 0x00000001 0x00000098 0x00000001 0x00002a30 
Oxbffff11c: 0x0804b090 0x08048530 0x00000000 0x00000000 
(gdb) 


Мы легко находим нашу структуру в стеке. Для начала, посмотрим, как она 
объявлена в time.h: 


Листинг 1.337: time.h 


struct tm 

{ 
int tm бес; 
int tm min; 
int tm_ hour; 
int ыт пдау; 
int tm_mon; 
int їм year; 
int tm wday; 
int  tm_yday; 
int tm isdst; 

}; 


Обратите внимание что здесь 32-битные int вместо WORD в Ѕ5ҮЅТЕМТІМЕ. Так 
что, каждое поле занимает 32-битное слово. 


Вот поля нашей структуры в стеке: 


OxbffffO0dc: 0х080484с3 0х080485с0 0х0000074е 

Oxbffff0ec: 0х08048301 0х538с93еа 0х00000025 sec 

OxbffffOfc: 0х00000012 hour 0х00000002 тдау 0х00000005 топ 
„ year 

Oxbffff10c: 0x00000001 wday 0x00000098 удау 0х00000001 15451 0x00002a30 

Oxbffff11lc: 0x0804b090 0x08048530 0x00000000 0x00000000 


0x00000000 
0x0000000a min 
0x00000072 2 


Либо же, в виде таблицы: 
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Шестнадцатеричное число | десятичное число | имя поля 
0х00000025 37 т ѕес 
0х0000000а 10 Ет тіп 
0х00000012 18 Ет Һоиг 
0х00000002 2 Ет таау 
0х00000005 5 Ст топ 
0х00000072 114 т уеаг 
0х00000001 1 Ет мадау 
0х00000098 152 іт удау 
0х00000001 1 Ет 1595 


Как ив примере с ЅҮЅТЕМТІМЕ (1.30.1 (стр. 439)), здесь есть и другие поля, TOTO- 
вые для использования, но в нашем примере они не используются, например, 
іт маау, йт уаау, їт іѕаѕї. 


ARM 


Оптимизирующий Keil 6/2013 (Режим Thumb) 


Этот же пример: 


Листинг 1.338: Оптимизирующий Keil 6/2013 (Режим Thumb) 


маг 38 
маг 34 
маг 30 
маг 2С 
маг 28 
маг 24 
timer 


= -0х38 

= —0x34 

= -0x30 

= —0x2C 

= -0х28 

= -0х24 

= —0xC 

PUSH {LR} 

MOVS RO, #0 ; timer 

SUB SP, SP, #0x34 

BL time 

STR RO, [SP,#0x38+timer] 

MOV R1, SP ; tp 

ADD RO, SP, #0x38+timer ; timer 
BL localtime г 

LDR R1, =0x76C 

LDR RO, [SP,#0x38+var_24] 

ADDS R1, RO, R1 

ADR RO, aYearD ; "Year: %d\n" 
BL _ 2printf 

LDR R1, [SP,#0x38+var_28] 

ADR RO, aMonthD ; "Month: %d\n" 
BL _ 2printf 

LDR R1, [SP,#0x38+var_2C] 

ADR RO, aDayD ; "Day: %d\n" 
BL _ 2printf 

LDR R1, [SP,#0x38+var_30] 

ADR RO, aHourD ; "Hour: %d\n" 
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_ 2printf 

R1, [SP,#0x38+var_34] 

RO, aMinutesD ; "Minutes: %d\n" 
_ 2printf 

R1, [$Р,#0х38+\аг 38] 

RO, абесопаѕр ; "Seconds: %d\n" 
_ 2printf 

SP, SP, #0x34 

{PC} 


Оптимизирующий Xcode 4.6.3 (LLVM) (Режим Thumb-2) 


IDA «узнала» структуру tm (потому что IDA «знает» типы аргументов библио- 
течных функций, таких как 1оса1ї1те_г()), поэтому показала здесь обраще- 
ния к отдельным элементам структуры и присвоила им имена. 


Листинг 1.339: Оптимизирующий Xcode 4.6.3 (ШММ) (Режим Thumb-2) 


маг 38 
маг 34 


—0х38 
—0х34 


PUSH {А7 ,18} 


А7, ЅР 
SP, SP, #0х30 


MOVS RO, #0 ; time t * 


_time 

R1, SP, #0x38+var_34 ; struct tm * 
RO, [SP,#0x38+var_38] 

RO, SP ; time t * 

_localtime_r 

R1, [SP,#0x38+var_34.tm_year] 

RO, 0xF44 ; "Year: %d\n" 

RO, PC ; char * 


ADDW R1, R1, #0х76С 


_printf 

R1, [SP,#0x38+var_34.tm_mon] 
RO, ОхЕЗА ; "Month: %d\n" 

RO, PC ; char * 

_printf 

R1, [SP,#0x38+var_34.tm_mday] 
RO, ОхЕЗ5 ; "Day: %d\n" 

RO, РС ; char * 

_printf 

R1, [SP,#0x38+var_34.tm_hour] 
RO, 0xF2E ; "Hour: %d\n" 

RO, РС ; char * 

_printf 

R1, [SP,#0x38+var_34.tm_ тіп] 
RO, 0xF28 ; "Minutes: %d\n" 
RO, PC ; char * 

_printf 

R1, [SP,#0x38+var_34] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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МОУ RO, 0xF25 ; "Seconds: %а\п" 
ADD RO, РС ; char * 

BLX printf 

ADD SP, SP, #0x30 

РОР {В7,РС} 


00000000 
00000000 
00000004 
00000008 
0000000C 
00000010 
00000014 
00000018 
0000001С 
00000020 
00000024 
00000028 
0000002C 


tm struc ; (sizeof=0x2C, standard type) 
tm_sec DCD 
tm_min DCD 
{т hour DCD 
tm_mday DCD 
tm_mon DCD 
tm_year DCD 
{т wday DCD 
tm yday DCD 
tm_isdst DCD 
tm_gmtoff DCD 
tm_zone DCD ? ; offset 
tm ends 


MIPS 


Листинг 1.340: Оптимизирующий ССС 4.4.5 (IDA) 


main: 
; IDA He 


маг 40 
маг 38 
seconds 
minutes 
hour 
day 
month 
year 
маг 4 


lui 
addiu 
la 


знает имен полей структуры, мы назвали их так вручную: 


—0х40 
—0х38 
—0х34 
-0x30 
—0х2С 
—0х28 
—0х24 
—0х20 
—4 


$gp, (пи 1оса1 ор >> 16) 

$5р, -0x50 

$gp, (_ дпи Тоса\_др & ОхЕЕЕР) 
$га, 0x50+var_4($sp) 

$gp, 0x50+var_40($sp) 

$t9, (time & 0OxFFFF)($gp) 

$at, $zero ; load delay slot, NOP 
$t9 

$a0, $zero ; branch delay slot, NOP 
$gp, 0x50+var_40($sp) 

$a0, $sp, 0х50+уаг_38 

$19, (localtime_r & OxFFFF) ($9р) 
$al, $sp, 0x50+seconds 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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ја1г $19 
SW $vO, 
1м ор, 
1м $al, 
lw $t9, 
la $a0, 
jalr $t9 
addiu $al, 
1м Фор, 
1м $al, 
lw $t9, 
lui $a0, 
jalr $t9 
la $a0, 
lw ор, 
1м $al, 
lw $t9, 
lui $a0, 
jalr $t9 
la $a0, 
1м Фор, 
1м $al, 
lw $t9, 
lui $a0, 
jalr $t9 
la $a0, 
1м ор, 
1м $al, 
lw $t9, 
lui $a0, 
jalr $t9 
la $a0, 
1м ор, 
1м $al, 
lw $t9, 
lui $a0, 
jalr $t9 
la $a0, 
1м $га, 
ог $at, 
jr $ra 
addiu $sp, 

$LCO: 

$LC1 

$LC2 

$ СЗ 

$LC4 

$LC5 


0x50+var_38($sp) ; branch delay slot 
0x50+var_40($sp) 


0x50+year($sp) 
(printf & ОхЕЕЕР)($0р) 
$LCO # "Year: %d\n" 


1900 ; branch delay slot 
0x50+var_40($sp) 

0x50+month ($ѕр) 

(printf & OxFFFF)($gp) 

($LC1 >> 16) # "Month: %d\n" 


($LC1 & OxFFFF) # "Month: %d\n" ; branch delay slot 
0x50+var_40($sp) 

0x50+day ($sp) 

(printf & ОхЕЕЕР)($0р) 

($LC2 >> 16) # "Day: %d\n" 


($LC2 & OxFFFF) # "Day: %d\n" ; branch delay slot 
0x50+var_40($sp) 

0x50+hour ( $5р) 

(printf & ОхЕЕЕР) ($9р) 

($LC3 >> 16) # "Hour: %а\п" 


($LC3 & OxFFFF) # "Hour: %А\п" ; branch delay slot 
0x50+var_40($sp) 

0x50+minutes ($sp) 

(printf & OxFFFF)($gp) 

($LC4 >> 16) # "Minutes: %d\n" 


($LC4 & OxFFFF) # "Minutes: %d\n" ; branch delay slot 
0x50+var_40($sp) 

0x50+seconds ($sp) 

(printf & OxFFFF)($gp) 

($LC5 >> 16) # "Seconds: %d\n" 


($LC5 & OxFFFF) # "Seconds: %d\n" ; branch delay slot 
0x50+var_4($sp) 
$zero ; load delay slot, NOP 


0x50 


„ascii "Year: %d\n"<0> 
.ascii "Month: %d\n"<0> 
„ascii "Day: %d\n"<0> 
„ascii "Hour: %d\n"<0> 
„ascii "Minutes: %d\n"<0> 
.аѕсіі "Seconds: %d\n"<0> 


Это тот пример, где branch delay 5!ої-ы могут нас запутать. 


Например, в строке 35 есть инструкция addiu $al, 1900, добавляющая 1900 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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к числу года. 


Но она исполняется перед исполнением соответствующей JALR в строке 34, не 
забывайте. 


Структура как набор переменных 


Чтобы проиллюстрировать то что структура — это просто набор переменных, 
лежащих в одном месте, переделаем немного пример, еще раз заглянув в опи- 
сание структуры їт: листинг.1.337. 


#include <stdio.h> 
#include <time.h> 


void main() 
{ 
int {м sec, tm тіп, їт hour, tm_mday, їт топ, tm _ year, tm мау, tm удау/ 
S, tm_isdst; 
time_t unix_time; 


unix_time=time (NULL); 


localtime_r (&unix time, &tm sec); 


printf ("Year: %d\n", tm уеаг+1900) ; 
printf ("Month: %d\n", tm топ); 
printf ("Day: %d\n", tm mday); 
printf ("Hour: %d\n", tm_hour); 
printf ("Minutes: %d\n", tm min); 
printf ("Seconds: %d\n", tm_sec); 


}; 


М.В. В Тоса1{1те_г передается указатель именно на tm sec, т.е. на первый 
элемент «структуры». 


В итоге, и этот компилятор поворчит: 


Листинг 1.341: ССС 4.7.3 


GCC_tm2.c: Іп function 'таіп': 

GCC_tm2.c:11:5: warning: passing argument 2 of '1оса1 +іте г' from и 
„ incompatible pointer type [enabled by default] 

In file included from ССС їт2.с:2:0: 

/usr/include/time.h:59:12: note: expected 'struct tm *' but argument 15 of / 
ъ type 'int *' 


Тем не менее, сгенерирует такое: 


Листинг 1.342: ССС 4.7.3 


main proc near 
маг 30 = мога ptr -30h 
маг 2С = мога ptr —2Сһ 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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unix_time 
tm_sec 
tm min 
tm_hour 
tm_mday 
tm_mon 
tm_year 


main 


dword ptr -1Ch 
dword ptr -18h 
dword ptr -14h 
dword ptr -10h 
dword ptr —0Сһ 


dword ptr -8 
dword ptr -4 
push ebp 
mov ebp, esp 
and esp, OFFFFFFFOh 
sub esp, 30h 
call _ main 
mov [esp+30h+var_30], 0 ; arg 0 
call time 
mov [esp+30h+unix_time], eax 
lea eax, [esp+30h+tm sec] 
mov [esp+30h+var_2C], eax 
lea eax, [esp+30h+unix time] 
mov [esp+30h+var_30], eax 
call localtime_r 
mov eax, [esp+30h+tm year] 
add eax, 1900 
mov [esp+30h+var_2C], eax 
mov [esp+30h+var_30], offset aYearD ; "Year: %d\n" 
call printf 
mov eax, [esp+30h+tm_mon] 
mov [esp+30h+var_2C], eax 
mov [esp+30h+var_30], offset aMonthD ; "Month: %d\n" 
call printf 
mov eax, [esp+30h+tm mday] 
mov [esp+30h+var_2C], eax 
mov [esp+30h+var_30], offset aDayD ; "Day: %d\n" 
call printf 
mov eax, [е<р+30һ+їт hour] 
mov [esp+30h+var_2C], eax 
mov [esp+30h+var_30], offset aHourD ; "Hour: %d\n" 
call printf 
mov eax, [esp+30h+tm min] 
mov [esp+30h+var_2C], eax 
mov [esp+30h+var_30], offset aMinutesD ; "Minutes: %d\n" 
call printf 
mov eax, [esp+30h+tm sec] 
mov [esp+30h+var_2C], eax 
mov [esp+30h+var_30], offset aSecondsD ; "Seconds: %d\n" 
call printf 
leave 
retn 
endp 


Этот код почти идентичен уже рассмотренному, и нельзя сказать, была ли 
структура в оригинальном исходном коде либо набор переменных. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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И это работает. Однако, в реальности так лучше не делать. Обычно, неоптими- 
зирующий компилятор располагает переменные в локальном стеке в том же 
порядке, в котором они объявляются в функции. 


Тем не менее, никакой Гарантии нет. 


Кстати, какой-нибудь другой компилятор может предупредить, что перемен- 
ные tm year, фт топ, фт_тдау, Ёт һоиг, Ёт тіп, но не {т ѕес, используются без 
инициализации. Действительно, ведь компилятор не знает что они будут за- 
полнены при вызове функции localtime r(). 


Мы выбрали именно этот пример для иллюстрации, потому что все члены струк- 
туры имеют тип int. Это не сработает, если поля структуры будут иметь размер 
16 бит (WORD), как в случае со структурой ЅҮЅТЕМТІМЕ — GetSystemTime() запол- 
нит их неверно (потому что локальные переменные выровнены по 32-битной 
границе). Читайте об этом в следующей секции: «Упаковка полей в структуре» 
(1.30.4 (стр. 460)). 


Так что, структура — это просто набор переменных лежащих в одном месте, 
рядом. 


Можно было бы сказать, что структура — это инструкция компилятору, застав- 
ляющая его удерживать переменные в одном месте. 


Кстати, когда-то, в очень ранних версиях Си (перед 1972) структур не было 
вовсе [Dennis М. Ritchie, The development of the С language, (1993)]138. 


Здесь нет примера с отладчиком: потому что он будет полностью идентичным 
тому, что вы уже видели. 


Структура как массив 32-битных слов 


#include <stdio.h> 
#include <time.h> 


void main() 

{ 
struct tm t; 
time_t unix_time; 
int i; 


unix _time=time (NULL); 
localtime_r (&unix time, &t); 


for (i=0; i<9; i++) 
{ 
1]; 


int їтр=((1пї*)&)[ 
(%а)\п", tmp, tmp); 


printf ("0x%08X 
$; 
$; 


158Также доступно здесь: pdf 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Мы просто приводим (cast) указатель на структуру к массиву тЕ-ов. И это pa- 
ботает! Запускаем пример 23:51:45 26-Јиіу-2014. 


0х0000002р (45 
0х00000033 ( 
0х00000017 ( 
0х0000001А ( 
0х00000006 ( 
0х00000072 ( 
0х00000006 ( 
0х000000СЕ ( 
0х00000001 ( 


Переменные здесь в том же порядке, в котором они перечислены в определе- 
нии структуры: 1.337 (стр. 449). 


Вот как это компилируется: 


Листинг 1.343: Оптимизирующий ССС 4.8.1 


та1п ргос пеаг 


push ebp 

mov ebp, esp 

push esi 

push ebx 

and esp, OFFFFFFFOh 

sub esp, 40h 

mov dword ptr [esp], 0 ; timer 
lea ebx, [esp+14h] 

call _time 

lea esi, [esp+38h] 

mov [esp+4], ebx ; tp 

mov [esp+10h], eax 

lea eax, [esp+10h] 

mov [esp], eax ; timer 
call _localtime_r 

nop 

lea esi, [esi+0] ; МОР 


1ос 8048308: 
; ЕВХ здесь это указатель на структуру, 
; ESI - указатель на её конец. 


mov eax, [ebx] ; загрузить 32-битное слово из массива 
ааа ebx, 4 ; следующее поле в структуре 

mov dword ptr [esp+4], offset a0x08xD ; "0x%08X (%d)\n" 
mov dword ptr [esp], 1 

mov [esp+0Ch], eax ; передать значение B printf() 
mov [esp+8], eax ; передать значение B printf() 
call __printf_chk 

cmp ebx, esi ; достигли конца структуры? 

jnz short loc 8048308 ; нет - тогда загрузить следующее значение 
1еа esp, [ебр-8] 

рор ebx 

pop esi 

pop ebp 

retn 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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main епар 


И действительно: место в локальном стеке в начале используется как структу- 
ра, затем как массив. 


Возможно даже модифицировать поля структуры через указатель. 


И снова, это сомнительный хакерский способ, который не рекомендуется ис- 
пользовать в настоящем коде. 


Упражнение 


В качестве упражнения, попробуйте модифицировать (увеличить на 1) теку- 
щий номер месяца обращаясь со структурой как с массивом. 
Структура как массив байт 


Можно пойти еще дальше. Можно привести (cast) указатель к массиву байт и 
вывести его: 


#include <stdio.h> 
#include <time.h> 


void main() 

{ 
struct tm t; 
time_t unix_time; 
int i, j; 


unix time=time(NULL); 
localtime_r (&unix time, &t); 


for (i=0; 1<9; i++) 
{ 
for (j=0; j<4; j++) 
printf ("0x%02X ", ((unsigned char*)&t)[i*4+j]); 
printf ("\n"); 
}; 
}; 


0х20 0x00 0x00 0x00 
0x33 0x00 0x00 0x00 
0x17 0x00 0x00 0x00 
0x1A 0x00 0x00 0x00 
0x06 0x00 0x00 0x00 
0x72 0x00 0x00 0x00 
0x06 0x00 0x00 0x00 
ОхСЕ 0x00 0x00 0x00 
0x01 0x00 0x00 0x00 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Мы также запускаем этот пример в 23:51:45 26-Јиу-2014 159. Переменные TOY- 
но такие же, как и в предыдущем выводе (1.30.3 (стр. 457)), и конечно, млад- 
ший байт идет в самом начале, потому что это архитектура little-endian (2.2 
(стр. 583)). 


Листинг 1.344: Оптимизирующий ССС 4.8.1 


та1п ргос пеаг 


push ebp 

mov ebp, esp 

push edi 

push esi 

push ebx 

and esp, OFFFFFFFOh 

sub esp, 40h 

mov dword ptr [esp], © ; timer 
lea esi, [esp+14h] 

call _time 

lea edi, [esp+38h] ; struct end 
mov [esp+4], esi ; tp 

mov [esp+10h], eax 

lea eax, [esp+10h] 

mov [esp], eax ; timer 
call _localtime_r 

lea esi, [esi+0] ; NOP 


; ESI здесь это указатель на структуру в локальном стеке. 
; EDI это указатель на конец структуры. 
loc 8048408: 

хог ерх, ebx ; ј=0 


loc 804840А: 


ПОМ2Х eax, byte ptr [еѕі+ебх] ; загрузить байт 
ааа ерх, 1 ; j=j+1 
mov dword ptr [esp+4], offset a0x02x ; "0x%02X " 
mov dword ptr [esp], 1 
mov [esp+8], eax ; передать загруженный байт B printf() 
call __ printf_chk 
cmp ebx, 4 
jnz short loc 804840А 
; вывести символ перевода каретки (CR) 
mov dword ptr [esp], OAh ; с 
add esi, 4 
call _putchar 
cmp esi, edi ; достигли конца структуры? 
jnz short loc 8048408 ; j=0 
lea esp, [ebp-0Ch] 
pop ebx 
pop esi 
pop edi 
pop ebp 
retn 
main endp 


159Время и дата такая же в целях демонстрации. Значения байт были подправлены. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


460 


GNU Scientific Library: Представление комплексных чисел 


Это относительно редкий случай, когда массив используется вместо структу- 
ры, намеренно: 


Representation о? complex numbers 


Complex numbers are represented using the type :code:`gsl_complex`. The 
internal representation of this type may vary across platforms and 
should not be accessed directly. The functions and macros described 
below allow complex numbers to be manipulated in a portable way. 


For reference, the default form of the :сойе: `951 сотр1ех` type is 
given by the following struct: : 


typedef struct 
{ 

double dat[2]; 
} gsl_complex; 


The real and imaginary part are stored in contiguous elements of a two 
element array. This eliminates any padding between the real and 

imaginary parts, :code:`dat[0]> апа :code:`dat[1]>, allowing the struct to 
be mapped correctly onto packed complex arrays. 


( URL) 


1.30.4. Упаковка полей в структуре 


Достаточно немаловажный момент, это упаковка полей в структурах. 


Возьмем простой пример: 


#include <stdio.h> 


struct s 
{ 
char a; 
int b; 
char с; 
int d; 
}; 
void f(struct s s) 
{ 
printf ("a=%d; b=%d; c=%d; d=%d\n", s.a, s.b, s.c, s.d); 
}; 
int маіп() 
{ 
struct s tmp; 
tmp.a=1; 
tmp.b=2; 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


m. 
О хо сом сС л .>ьЬ о) юк; 


їтр.с=3; 
їтр.а=4; 
(тр); 
Р 
Как видно, мы имеем два поля char (занимающий один байт) и еще два — int 


(по 4 байта). 


х86 


Компилируется это все в: 


Листинг 1.345: MSVC 2012 /65- /ОрО 


_tmp$ = -16 

_main PROC 
push ebp 
mov ebp, esp 
sub esp, 16 
mov BYTE РТВ tmp$[ebp], 1 ; 
mov DWORD PTR _tmp$[ebp+4], 2 ; 
mov BYTE PTR _tmp$[ebp+8], З ; 
mov DWORD PTR _tmp$[ebp+12], 4 ; 
sub esp, 16 Е 
структуры 
mov eax, esp 
mov ecx, DWORD PTR +тр$[ерр] ; 
временную 
mov DWORD PTR [eax], ecx 
mov edx, DWORD PTR _tmp$[ebp+4] 
mov DWORD PTR [eax+4], edx 
mov ecx, DWORD РТВ _tmp$[ebp+8] 
mov DWORD PTR [eax+8], ecx 
mov edx, DWORD PTR _tmp$[ebp+12] 
mov DWORD PTR [eax+12], edx 
call f 
add esp, 16 
xor eax, eax 
mov esp, ebp 
pop ebp 
ret 0 

_та1п ЕМОР 

_$$ = 8 ; size = 16 

?та@уАХУ5@@@7 PROC ; f 
push ebp 
mov ebp, esp 
mov eax, DWORD PTR _s$[ebp+12] 
push eax 
movsx ecx, BYTE PTR s$[ebp+8] 
push ecx 
mov edx, DWORD PTR _s$[ebp+4] 
push edx 
movsx eax, BYTE PTR _s$[ebp] 


установить 
установить 
установить 
установить 


поле 
поле 
поле 
поле 


а 
р 
c 


d 


выделить место для временной 


скопировать нашу структуру во 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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push 
push 
call 
add 
pop 
ret 


eax 


OFFSET $563842 
_printf 


esp, 
ebp 
0 


20 


?та@уАХУ@@@7 ЕМОР ; f 


_ТЕХТ 


ENDS 


Кстати, мы передаем всю структуру, HO в реальности, как видно, структура в 
начале копируется во временную структуру (выделение места под нее в стеке 
происходит в строке 10, а все 4 поля, по одному, копируются в строках 12... 
19), затем передается только указатель на нее (или адрес). 


Структура копируется, потому что неизвестно, будет ли функция #() модифи- 
цировать структуру или нет. И если да, то структура внутри та1п() должна 
остаться той же. 


Мы могли бы использовать указатели на Си/Си++, и итоговый код был бы NO- 
чти такой же, только копирования не было бы. 


Мы видим здесь что адрес каждого поля в структуре выравнивается по 4-байтной 
границе. Так что каждый char здесь занимает те же 4 байта что и int. Зачем? 
Затем что процессору удобнее обращаться по таким адресам и кэшировать 
данные из памяти. 


Но это не экономично по размеру данных. 


Попробуем скомпилировать тот же исходник с опцией (/7р1) (/2р[п] pack structures 


оп n-byte boundary). 


Листинг 1.346: MSVC 2012 /GS- /Zp1 


esp 
12 
PTR _tmp$[ebp], 1 ; 


DWORD PTR _tmp$[ebp+1], 2 ; 


PTR _tmp$[ebp+5], 3 ; 


DWORD PTR _tmp$[ebp+6], 4 ; 


12 ; 


esp 
DWORD РТВ tmp$[ebp] ; 


DWORD PTR [eax], ecx 


DWORD PTR _tmp$[ebp+4] 


DWORD PTR [eax+4], edx 
сх, WORD PTR _tmp$[ebp+8] 


_main PROC 
push ebp 
mov ebp, 
sub esp, 
mov BYTE 
mov 
mov BYTE 
mov 
sub esp, 
структуры 
mov eax, 
mov ecx, 
mov 
mov edx, 
mov 
mov 
mov WORD 
call f 
add esp, 
xor eax, 
mov esp, 
pop ebp 


PTR [eax+8], cx 


12 
eax 
ebp 


установить 
установить 
установить 
установить 


поле 
поле 
поле 
поле 


осо 


а 


выделить место для временной 


скопировать 10 байт 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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гет 0 
_та1п ЕМОР 


_ТЕХТ SEGMENT 
s$ = 8 ; size = 10 


?Т@@ҮАХО5@@@7/ PROC HoT 
push ebp 
mov ebp, esp 
mov eax, DWORD PTR _s$[ebp+6] 
push eax 
movsx ecx, BYTE PTR _s$[ebp+5] 
push ecx 
mov edx, DWORD PTR _s$[ebp+1] 
push edx 
movsx eax, BYTE PTR _s$[ebp] 
push eax 


push OFFSET $563842 
call printf 
add esp, 20 


pop ebp 
ret 0 
?а@уАХУ$@@@7 ЕМОР ; i 


Теперь структура занимает 10 байт и все char занимают по байту. Что это дает? 
Экономию места. Недостаток — процессор будет обращаться к этим полям не 
так эффективно по скорости, как мог бы. 


Структура так же копируется в та1п(). Но не по одному полю, а 10 байт, при 
помощи трех пар MOV. 


Почему не 4? Компилятор рассудил, что будет лучше скопировать 10 байт при 
помощи З пар MOV, чем копировать два 32-битных слова и два байта при nomo- 
щи 4 пар МОУ. 


Кстати, подобная реализация копирования при помощи MOV взамен вызова функ- 
ции петсру(), например, это очень распространенная практика, потому что 
это в любом случае работает быстрее чем вызов тетсру() — если речь идет о 
коротких блоках, конечно: 3.12.1 (стр. 648). 


Как нетрудно догадаться, если структура используется много в каких исход- 
никах и объектных файлах, все они должны быть откомпилированы с одним и 
тем же соглашением об упаковке структур. 


Помимо ключа MSVC /7р, указывающего, по какой границе упаковывать поля 
структур, есть также опция компилятора #ргадта раск, её можно указывать 
прямо в исходнике. Это справедливо и для М$\МС160 и ССС!6!. 


Давайте теперь вернемся к 5ҮЅТЕМТІМЕ, которая состоит из 16-битных полей. 
Откуда наш компилятор знает что их надо паковать по однобайтной границе? 


В файле WinNT.h попадается такое: 


160MSDN: Working with Packing Structures 
161Structure-Packing Pragmas 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Листинг 1.347: WinNT.h 


#include "pshpack1.h" 


И такое: 


Листинг 1.348: WinNT.h 


#include "рѕһраск4. һ" // 4 byte packing is the default 


Сам файл PshPack1.h выглядит так: 


Листинг 1.349: PshPack1.h 


#if 1 (defined(lint) || деғіпеа (Ас ІМУОКЕр)) 

#11 ( М5С МЕА >= 800 && !аеҒіпеа( М 186)) || defined(_ PUSHPOP_SUPPORTED) 
#ргадта магпіпо (аіѕар1е:4103) 

#11 !(defined( MIDL_ РА55 )) || деғіпеа( _ midl ) 
#ргадта раск(риѕћ, 1) 

#е15е 

#ргадта раск(1) 

#endif 

#else 

#pragma pack(1) 

#endif 

#endif /* ! (defined(lint) || defined(RC_INVOKED)) */ 


Собственно, так и задается компилятору, как паковать объявленные после 
#ргадта pack структуры. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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OllyDbg + упаковка полей по умолчанию 


Попробуем в OllyDbg наш пример, где поля выровнены по умолчанию (4 байта): 


=101х] 


DWORD РТВ 55: САК. 2] 
BYTE РТВ 55: ГААб. 11 


› 01371010 раск та. 81371818 


ØLFFFFFFFF) 
@(ЕЕЕЕЕЕРЕ) 
@(ЕЕЕЕЕЕЕРЕ) 
ØLFFFFFFFF) 
7ЕРОО898( FFF) 
ØLFFFFFFFF) 


‚DIO м mmmmMmmMMM T 


(Байган ај 
3 81 Е 3? ЕЙ e5 EE ge Е аз 38 3? ЕН Т) С Е йй 


Рис. 1.105: OllyDbg: Перед исполнением printf() 


Вокне данных видим наши четыре поля. Вот только, откуда взялись случайные 
байты (0х30, 0х37, 0х01) рядом с первым (а) и третьим (с) полем? 


Если вернетесь к листингу 1.345 (стр. 461), то увидите, что первое и третье 
поле имеет тип Char, а следовательно, туда записывается только один байт, 1 
и 3 соответственно (строки 6 и 8). 


Остальные три байта 32-битного слова не будут модифицироваться в памяти! 


А, следовательно, там остается случайный мусор. Этот мусор никак не будет 
влиять на работу printf(), потому что значения для нее готовятся при no- 
мощи инструкции MOVSX, которая загружает из памяти байты а не слова: ли- 
стинг.1.345 (строки 34 и 38). 


Кстати, здесь используется именно МО\/5Х (расширяющая знак), потому что тип 
спаг— знаковый по умолчанию в MSVC и ССС. 


Если бы здесь был тип unsigned char или uint8_ t, то здесь была бы инструк- 
ция MOVZX. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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OllyDbg + упаковка полей по границе в 1 байт 


Здесь всё куда понятнее: 4 поля занимают 10 байт и значения сложены в па- 


мяти друг к другу 


СРО 


[Address Lhe 


ARM 


RETN 


main thread, module packing 


ESP 
DWORD PTR SS: CEBP+0E] 


{@1 02 йй йй йй йз 04 йй йй HAJDE 


ASCII (ANSI 


› 99417988 
51 00080081 
1 в Я 


шишиши) 


угы 00) 


Оптимизирующий Кей! 6/2013 (Режим Thumb) 


ІР 990Е1! 918 раск{та.990Е! 818 


@(ЕЕЕЕЕЕЕЕ) 
а(ЕЕЕЕЕЕЕЕ) 
ØLFFFFFFFF) 
ØLFFFFFFFF) 
ZEFDDØALFFF) 
ØLFFFFFFFF) 


RETURN from pac 


OFFSET packing. 


Рис. 1.106: OllyDbg: Перед исполнением printf() 


Листинг 1.350: Оптимизирующий Keil 6/2013 (Режим Thumb) 


.text: 
.text: 
.text: 


.text 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 


0000003E 
0000003E 
00000040 


: 00000280 


00000280 
00000280 
00000280 
00000280 
00000280 
00000280 
00000280 
00000280 
00000282 
00000284 
00000286 
00000288 
0000028A 


05 
00 


OF 
81 
04 
02 
00 
68 


BO 
BD 


B5 
BO 
98 
9A 
90 
46 


exit ; 


CODE XREF: 


ADD 
POP 


= -0х18 
= -0x14 
= -0x10 
= —0xC 
= -8 


PUSH 
SUB 
LDR 
LDR 
STR 
MOV 


SP, 


{PC} 


f+16 


SP, #0x14 


{RO-R3, LR} 


SP, 
RO, 
R2, 
RO, 
RO, 


SP, #4 
[SP, #16] 
[SP,#8] 
[SP] 

SP 


„0 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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.Хехї:0000028С 03 7B LDRB АЗ, [R0,#12] G 

.text:0000028E 01 79 LDRB R1, [А0, #4] ; а 

.Хехї:00000290 59 АО ADR RO, aADBDCDDD ; "a=%d; b=%d; 
c=%d; d=%d\n" 

.text:00000292 05 FO AD FF BL _ 2printf 

.text:00000296 D2 E6 B exit 


Как мы помним, здесь передается не указатель на структуру, a сама структура, 
а так как в АВМ первые 4 аргумента функции передаются через регистры, то 
поля структуры передаются через RO-R3. 


Инструкция LDRB загружает один байт из памяти и расширяет до 32-бит учи- 
тывая знак. 


Это то же что и инструкция МО\/5Х в x86. Она здесь применяется для загрузки 
полей аи сиз структуры. 


Еще что бросается в глаза, так это то что вместо эпилога функции, переход на 
эпилог другой функции! 


Действительно, то была совсем другая, не относящаяся к этой, функция, од- 
нако, она имела точно такой же эпилог (видимо, тоже хранила в стеке 5 ло- 
кальных переменных (5 + 4 = 0214)). К тому же, она находится рядом (обратите 
внимание на адреса). 


Действительно, нет никакой разницы, какой эпилог исполнять, если он рабо- 
тает так же, как нам нужно. 


Кей решил использовать часть другой функции, вероятно, из-за экономии. 


Эпилог занимает 4 байта, а переход — только 2. 


ARM + Оптимизирующий Xcode 4.6.3 (ШММ) (Режим Thumb-2) 


Листинг 1.351: Оптимизирующий Xcode 4.6.3 (ШММ) (Режим Thumb-2) 


var С = -0хС 


РОЅН {R7, LR} 

MOV R7, SP 

SUB SP, SP, #4 

MOV R9, R1 ; b 

MOV R1, RO ; а 

MOVW RO, #0xF10 ; "a=%d; b=%d; c=%d; d=%d\n" 
SXTB R1, R1 ; подготовить a 

MOVT.W RO, #0 

STR АЗ, [SP,#0xC+var_C] ; сохранить d в стек для printf() 
ADD RO, РС ; строка формата 

SXTB R3, R2 ; подготовить C 

MOV R2, R9 ; b 

BLX _printf 

ADD SP, SP, #4 

POP {R7, PC} 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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SXTB (Signed Extend Byte) это также аналог MOVSX в x86. Всё остальное — так 
же. 


MIPS 
Листинг 1.352: Оптимизирующий GCC 4.4.5 (IDA) 
f: 
var_18 = -0x18 
уаг_10 = —0х10 
var 4 = -4 
arg 0 = 0 
arg_4 = 4 
arg_8 = 8 
arg C = 0хС 
; $a0=s.a 
; $al=s.b 
; $а2=5.с 
; $a3=s.d 
lui $gp, (пи 1оса1 ор >> 16) 
addiu $5р, -0x28 
la $gp, (_ дпи 1оса1 др & ОхЕЕЕР) 
Sw $ra, 0x28+var_4($sp) 
Sw $gp, 0x28+var_10($sp) 
; подготовить байт из 32-битного big-endian значения: 
sra $10, $a0, 24 
move $v1, $al 
; подготовить байт из 32-битного big-endian значения: 
sra $\0, $a2, 24 
1м $19, (printf & OxFFFF)($gp) 
SW $a0, 0x28+arg_0($sp) 
lui фаб, ($1С0 >> 16) # "a=%d; b=%d; c=%d; d=%d\n" 
SW $a3, 0x28+var_18($sp) 
SW $al, 0x28+arg_4($sp) 
SW $a2, 0x28+arg_8($sp) 
SW $a3, 0x28+arg_C($sp) 
la фаб, ($LCO & OxFFFF) # "a=%d; b=%d; c=%d; d=%d\n" 
move $al, $10 
move $a2, $v1 
jalr $t9 
move $a3, $%0 ; branch delay slot 
1м $га, 0x28+var_4($sp) 
ог фаї, $zero ; load delay slot, МОР 
јг $га 
addiu $sp, 0x28 ; branch delay slot 
$LCO: „ascii "a=%d; b=%d; c=%d; d=%d\n"<0> 


Поля структуры приходят в регистрах $A0..$A3 и затем перетасовываются в 
регистры $А1..$АЗ для ргіпі+(), в то время как 4-е поле (из $АЗ) передается 
через локальный стек используя SW. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Но здесь есть две инструкции SRA («Shift Word Right Arithmetic»), которые ro- 
товят поля типа сраг. 


Почему? По умолчанию, MIPS это big-endian архитектура 2.2 (стр. 583), и Debian 
Linux в котором мы работаем, также big-endian. 


Так что когда один байт расположен в 32-битном элементе структуры, он за- 
нимает биты 31..24. 


И когда переменную типа сһаг нужно расширить до 32-битного значения, она 
должна быть сдвинута вправо на 24 бита. 


сһаг это знаковый тип, так что здесь нужно использовать арифметический 
сдвиг вместо логического. 


Еще кое-что 


Передача структуры как аргумент функции (вместо передачи указателя на 
структуру) это то же что и передача всех полей структуры по одному. 


Если поля в структуре пакуются по умолчанию, то функцию #() можно перепи- 
сать так: 


void ?(сһаг а, int Ы, char с, int а) 


{ 
}; 


printf ("а=%0; b=%d; c=%d; d=%d\n", а, b, c, а); 


И в итоге будет такой же код. 


1.30.5. Вложенные структуры 


Теперь, как насчет ситуаций, когда одна структура определена внутри другой 
структуры? 


#include <stdio.h> 


struct inner_struct 


{ 
int a; 
int b; 
}; 
struct outer_struct 
{ 
char a; 
int b; 
struct inner struct с; 
char d; 
int e; 
}; 


void f(struct outer_struct s) 


{ 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


470 


printf ("а=%а; b=%d; с.а=%а; c.b=%d; d=%d; е=%@\п", 
s.a, S.b, 5ѕ.с.а, S.c.b, s.d, s.e); 


}; 

int main() 

{ 
struct outer struct $; 
5.а=1; 
5.6=2; 
5.с.а=100; 
5.с.0=101; 
5.4=3; 
5.е=4; 
f(s); 

}; 


...В этом случае, оба поля іппег ѕїгисї просто будут располагаться между 
полями a,b и d,e в outer 5*гист. 


Компилируем (MSVC 2010): 
Листинг 1.353: Оптимизирующий MSVC 2010 /Ob0 


$562802 DB 'a=%d; b=%d; с.а=%а; с.6=%4; d=%d; е=%4', дан, ӨӨН 


_ТЕХТ SEGMENT 

_$$ = 8 

f PROC 
mov eax, DWORD PTR s$[esp+16] 
movsx ecx, BYTE PTR s$[esp+12] 
mov edx, DWORD PTR _s$[esp+8] 


push eax 

mov eax, DWORD PTR _s$[esp+8] 
push ecx 

mov ecx, DWORD PTR _s$[esp+8] 
push edx 

movsx edx, BYTE PTR 5$[еѕр+8] 
push eax 

push ecx 

push edx 


push OFFSET $SG2802 ; 'a=%d; b=%d; c.a=%d; c.b=%d; d=%d; е=%а' 
call printf 
add esp, 28 


ret 0 

f ENDP 

_S$ = -24 

_main PROC 
sub esp, 24 
push ebx 
push ез1 
push edi 
mov ecx, 2 


sub esp, 24 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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mov eax, esp 

; С этого момента, EAX это синоним ESP: 
тоу BYTE РТВ 5$ [еѕр+60], 1 
тоу ebx, DWORD PTR _s$[esp+60] 
mov DWORD PTR [eax], ebx 
mov DWORD PTR [eax+4], ecx 
lea edx, DWORD PTR [ecx+98] 
lea esi, DWORD PTR [ecx+99] 
lea edi, DWORD PTR [ecx+2] 
mov DWORD PTR [eax+8], edx 
mov BYTE РТВ _s$[esp+76], З 
mov ecx, DWORD PTR s$[esp+76] 
mov DWORD PTR [eax+12], esi 
mov DWORD PTR [eax+16], ecx 
mov DWORD PTR [eax+20], edi 


call f 
add esp, 24 
pop edi 
pop esi 
xor eax, eax 
pop ebx 
add esp, 24 
ret 0 

_та1п ЕМОР 


Очень любопытный момент в том, что глядя на этот код на ассемблере, мы 
даже не видим, что была использована какая-то еще другая структура внутри 
этой! Так что, пожалуй, можно сказать, что все вложенные структуры в итоге 
разворачиваются в одну, линейную или одномерную структуру. 


Конечно, если заменить объявление struct inner_struct с; на ѕ1гисї inner struct 
*с; (объявляя таким образом указатель), ситуация будет совсем иная. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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OllyDbg 


Загружаем пример B OllyDbg и смотрим Ha outer struct в памяти: 


CPU - main thread, module nested 


МОУ EAX, DWORD PTR 55: [АВб.6] gi 
MOUSX ECX, BYTE PTR 55: LARG. 5] Без: кё, 


МОУ EDX, DWORD PTR 


nested. 00E75301 


› ВВ29РЕБЯ 

998008965 

090000004 

ВЕТ 1000 nested. 00E71000 
О(ЕЕЕЕЕЕЕЕ) 
ØLFFFFFFFF) 
@(ЕЕЕЕЕЕЕЕ) 
В(ЕЕЕЕЕЕЕЕ) 
ТЕРООВВВ(ЕЕЕ) 


ЕЯХ=988295008 2 ØLFFFFFFFF) 
Local call from 0E7106C ее ERROR SUCCESS 


‚Я, NS, PO, GE, G) 


ИЧ +ч^Е 
28| Ne) КЗ р“ У 


Рис. 1.107: OllyDbg: Перед исполнением printf() 


Вот как расположены значения в памяти: 


(outer_struct.a) (байт) 1 + 3 байта случайного мусора; 


(outer_struct.b) (32-битное слово) 2; 
• (іппег ѕігисі.а) (32-битное слово) 0x64 (100); 


( 
( 

e (inner_struct.b) (32-битное слово) 0x65 (101); 

e (ошег ѕїгисі.а) (байт) 3 + 3 байта случайного мусора; 
( 


e (ошег $гисЕе) (32-битное слово) 4. 


1.30.6. Работа с битовыми полями в структуре 
Пример CPUID 


Язык Си/Си++позволяет указывать, сколько именно бит отвести для каждого 
поля структуры. Это удобно если нужно экономить место в памяти. К примеру, 
для переменной типа bool достаточно одного бита. Но, это не очень удобно, 
если нужна скорость. 


Рассмотрим пример с инструкцией СРИТЬ"62. Эта инструкция возвращает MH- 
формацию о том, какой процессор имеется в наличии и какие возможности он 
имеет. 
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Если перед исполнением инструкции в EAX будет 1, то CPUID вернет упакован- 
ную в ЕАХ такую информацию о процессоре: 


3:0 (4 бита) Stepping 

7:4 (4 бита) Моде! 

11:8 (4 бита) Family 

13:12 (2 6nTa) | Processor Type 
19:16 (4 бита) | Extended Model 
27:20 (8 бит) Extended Family 


MSVC 2010 имеет макрос для CPUID, a GCC 4.4.1 — нет. Поэтому для GCC сде- 
лаем эту функцию сами, используя его встроенный ассемблер!е2. 


#include <stdio.h> 


#ifdef __ СМС 

static inline void cpuid(int code, int жа, int ж, int жс, int жа) { 
asm мо1а+і1е("сриіа": "=а" (жа), "=р" (жр), "=с" (жс), "=а" (жа) : "а" (соде)); 

} 

#endif 


#ifdef _MSC_VER 
#include <intrin.h> 


#endif 

struct CPUID 1 EAX 

{ 
unsigned int stepping:4; 
unsigned int model:4; 
unsigned int family_id:4; 
unsigned int processor _type:2; 
unsigned int reserved1:2; 
unsigned int extended_model_id:4; 
unsigned int extended Тат1Ту_ 14:8; 
unsigned int reserved2:4; 

$; 

int main() 

{ 
struct CPUID 1 ЕАХ жїтр; 
int 6[4]; 

#ifdef М5С \ЕВ 
_ Cpuid(b,1); 

#endif 


#ifdef _ СМС _ 
cpuid (1, &b[0], &b[1], &b[2], &b[3]); 
#endif 


tmp=(struct CPUID 1 EAX »)&b[0]; 
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printf ("ѕ+ерріпд=%0\ п", +тр->ѕ+ерріпд); 

printf ("model=%d\n", +тр->тодет); 

printf ("family_id=%d\n", tmp->family_id); 

printf ("processor_type=%d\n", tmp->processor_ type); 

printf ("extended _model_id=%d\n", tmp->extended_model_id); 
printf ("extended_family_id=%d\n", tmp->extended_family_id); 
return 0; 


}; 


После того как CPUID заполнит ЕАХ/ЕВХ/ЕСХ/ЕРХ, у нас они отразятся в массиве 
Ь[]. Затем, мы имеем указатель на структуру CPUID 1 EAX, и мы указываем его 
на значение EAX из массива bÍ]. 


Иными словами, мы трактуем 32-битный iNt как структуру. 


Затем мы читаем отдельные биты из структуры. 
MSVC 


Компилируем B MSVC 2008 с опцией /0х: 
Листинг 1.354: Оптимизирующий MSVC 2008 


_6$ = -16 ; size = 16 


_та1п PROC 
sub esp, 16 
push ebx 
xor ecx, ecx 
mov eax, 1 
cpuid 
push esi 


lea esi, DWORD PTR _b$[esp+24] 
mov DWORD PTR [esi], eax 

mov DWORD PTR [esi+4], ebx 
mov DWORD PTR [esi+8], ecx 
mov DWORD PTR [esi+12], edx 


mov esi, DWORD PTR b$[esp+24] 


mov eax, esi 
and eax, 15 
push eax 


push OFFSET $85G15435 ; 'stepping=%d', бан, ӨӨН 
call printf 


mov ecx, esi 
shr ecx, 4 
and ecx, 15 
push ecx 


push OFFSET $5G15436 ; 'model=%d', бан, ӨӨН 
call printf 
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тоу 
shr 
and 
push 
push 
call 


mov 
shr 
and 
push 
push 
call 


mov 
shr 
and 
push 
push 
call 


shr 
and 
push 
push 
call 
add 


pop 


xor 
pop 


add 
ret 
_main 


edx, esi 

edx, 8 

edx, 15 

edx 

OFFSET $5615437 ; 'family id=%d', бан, оон 
_printf 

eax, esi 

eax, 12 

eax, 3 

eax 

OFFSET $5615438 ; 'processor type=%d', дан, 00H 
_printf 

ecx, esi 

ecx, 16 

ecx, 15 

ecx 


OFFSET $5615439 ; 'extended model id=%d', бан, ӨӨН 
_printf 


esi, 20 
esi, 255 
esi 
OFFSET $5615440 ; 'extended family id=%d', дан, 00H 
_printf 
esp, 48 
esi 

eax, eax 
ebx 

esp, 16 
0 


ЕМОР 


Инструкция SHR сдвигает значение из EAX на то количество бит, которое нужно 
пропустить, то есть, мы игнорируем некоторые биты справа. 


А инструкция AND очищает биты слева которые нам не нужны, или же, гово- 
ря иначе, она оставляет по маске только те биты в ЕАХ, которые нам сейчас 


нужны. 
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MSVC + OllyDbg 


Загрузим пример B OllyDbg и увидим, какие значения были установлены B EAX/EBX/ECX/EDX 
после исполнения CPUID: 


СРО - тат thread, module CPUID 


SUB ЕЅР, 18 
PUSH ЕВХ 
33С9 XOR ECX, ECX 
ВЗ 01000000 | MOU EAX, 1 
ØFAZ с 


56 
807424 08 
8906 


99491880 


В(ЕЕЕЕЕЕЕЕ) 
Я(ЕЕЕЕЕЕЕЕ) 
@(ЕЕЕЕЕЕЕЕ) 
BLFFFFFFFF) 
ZEFDDØALFFF) 
ØLFFFFFFFF) 


ваввявиай ERROR_SUCCESS 


| Address [Нен dumo [и ам 


Еги RETURN from CPU 


RETURN from CPU 
RETURN from CPU 


ASCII "РО" 


Рис. 1.108: OllyDbg: После исполнения CPUID 


B EAX установлено 0x000206A7 (мой CPU — Intel Xeon E3-1220). 
В двоичном виде это 0b00000000000000100000011010100111. 


Вот как распределяются биты по полям в моем случае: 


поле в двоичном виде | в десятичном виде 
reserved2 0000 0 
ехїепаеа Ғатіу іа | 00000000 0 
ехїепаеа тодеі іа | 0010 2 
геѕегмеа1 00 0 
ргосеѕѕог 14 00 0 
Ғатіу іа 0110 6 
model 1010 10 
stepping 0111 7 
Листинг 1.355: Вывод в консоль 

stepping=7 

model=10 

family_id=6 


processor_type=0 
extended_model_id=2 
extended_family_id=0 
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GCC 


Попробуем ССС 4.4.1 с опцией -03. 
Листинг 1.356: Оптимизирующий ССС 4.4.1 


та1п proc near ; DATA XREF: _start+17 
push ebp 
mov ebp, esp 
and esp, OFFFFFFFOh 
push esi 
mov esi, 1 
push ebx 
mov eax, esi 
sub esp, 18h 
cpuid 
mov esi, eax 
and eax, OFh 
mov [esp+8], eax 
mov dword ptr [esp+4], offset aSteppingD ; "stepping=%d\n" 
mov dword ptr [esp], 1 
call __ printf_chk 
mov eax, esi 
shr eax, 4 
and eax, OFh 
mov [esp+8], eax 
mov dword ptr [esp+4], offset aModelD ; "model=%d\n" 
mov dword ptr [esp], 1 
call __ printf_chk 
mov eax, esi 
shr eax, 8 
and eax, OFh 
mov [esp+8], eax 
mov dword ptr [esp+4], offset aFamily_idD ; "family id=%d\n" 
mov dword ptr [esp], 1 
call __ printf_chk 
mov eax, esi 
shr eax, OCh 
and eax, 3 
mov [esp+8], eax 
mov dword ptr [esp+4], offset аРгосеѕѕог type ; "processor type=%d\n" 
mov dword ptr [esp], 1 
call __printf_chk 
mov eax, esi 
shr eax, 10h 
shr esi, 14h 
and eax, OFh 
and esi, OFFh 
mov [esp+8], eax 
mov dword ptr [esp+4], offset aExtended_model ; 
"extended_model_id=%d\n" 
mov dword ptr [esp], 1 
call __ printf_chk 
mov [esp+8], esi 
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тоу Чмога ptr [еѕр+4], offset ипк 8048600 
mov dword ptr [esp], 1 
call __ printf_chk 
add esp, 18h 
xor eax, eax 
pop ebx 
pop esi 
mov esp, ebp 
pop ebp 
retn 
main endp 


Практически, то же самое. Единственное что стоит отметить это TO, что GCC 
решил зачем-то объединить вычисление 

ехіепаеа тоае1 іа и ехепдеЧ Ғаті1у іа в один блок, вместо того чтобы Bbl- 
числять их перед соответствующим вызовом ргіпі? (). 


Работа с типом float как со структурой 


Как уже ранее указывалось в секции о FPU (1.25 (стр. 283)), и float n double 
содержат в себе знак, мантиссу и экспоненту. Однако, можем ли мы работать 
с этими полями напрямую? Попробуем с float. 


3130 2322 0 


$экспонента мантисса 


(5 — знак) 


#include <stdio.h> 
#include <assert.h> 
#include <stdlib.h> 
#include <тетогу.һ> 


struct float_as_struct 


{ 
unsigned int fraction : 23; // мантисса 
unsigned int exponent : 8; // экспонента + 0x3FF 
unsigned int sign : 1; // бит знака 

$; 


float f(float іп) 
{ 


float f=_in; 
struct float_as_struct t; 
assert (sizeof (struct float_as_struct) == sizeof (float)); 


memcpy (&t, &f, sizeof (float)); 


t.sign=1; // установить отрицательный знак 
ї.ехропепі=+ . ехропепї+2; // умножить d на 2” (п здесь 2) 
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memcpy (&f, &t, sizeof (float)); 


return f; 
}; 
int main() 
{ 
printf ("%f\n", f(1.234)); 
}; 


Структура ТТоа{ф аѕ ѕїгисї занимает в памяти столько же места сколько и 
float, то есть 4 байта или 32 бита. 


Далее мы выставляем во входящем значении отрицательный знак, а также 
прибавляя двойку к экспоненте, мы тем самым умножаем всё значение на 2°, 
то есть на 4. 


Компилируем в MSVC 2008 без включенной оптимизации: 


Листинг 1.357: Неоптимизирующий MSVC 2008 


_t$ = -8 ; size = 4 
_1$ = -4 ; size = 4 
__ 10$ = 8 ; 5126 = 4 
?Т@@ҮАММ@7 PROC ; f 
push ebp 
mov ebp, esp 
sub esp, 8 


fld DWORD PTR in$[ebp] 
fstp DWORD PTR f$[ebp] 


push 4 

lea eax, DWORD PTR _f$[ebp] 
push eax 

lea ecx, DWORD PTR _t$[ebp] 
push ecx 

call тетсру 


add esp, 12 

mov edx, DWORD PTR _t$[ebp] 

or edx, -2147483648 ; 80000000H - выставляем знак минус 
mov DWORD PTR t$[ebp], edx 


mov eax, DWORD PTR _t$[ebp] 


shr eax, 23 ; 00000017H - выкидываем мантиссу 

апа еах, 255 ; 000000Т1ТН - оставляем здесь только экспоненту 
ааа еах, 2 ; прибавляем к ней 2 

апа еах, 255 ; 000000ffH 

shl eax, 23 ; 00000017H - пододвигаем результат на место бит 
30:23 


тоу ecx, DWORD РТА _t$[ebp] 
and ecx, -2139095041 ; 807fffffH - выкидываем экспоненту 
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‚ складываем оригинальное значение без экспоненты с новой только что 


вычисленной экспонентой: 
ог есх, еах 


mov DWORD РТВ t$[ebp], ecx 


push 4 

lea edx, DWORD PTR _t$[ebp] 
push edx 

lea eax, DWORD PTR _f$[ebp] 
push eax 

call _тетсру 


add esp, 12 


fld DWORD PTR _f$[ebp] 


mov esp, ebp 

pop ebp 

ret 0 
?т@@уАММ@7 ЕМОР su 


Слегка избыточно. В версии скомпилированной с флагом /0х нет вызовов memcpy (), 
там работа происходит сразу с переменной Т. Но по неоптимизированной вер- 
сии будет проще понять. 


А что сделает ССС 4.4.1 с опцией -03? 


Листинг 1.358: Оптимизирующий ССС 4.4.1 


; f(float) 
public _Z1ff 
_7111_ proc near 
маг 4 = dword ptr -4 
arg 0 = dword ptr 8 
push ebp 
mov ebp, esp 
sub esp, 4 
mov eax, [ebp+arg_0] 
or eax, 80000000h ; выставить знак минуса 
mov edx, eax 
and eax, 807FFFFFh ; оставить B EAX только знак и мантиссу 
shr edx, 23 ; подготовить экспоненту 
ааа edx, 2 ; прибавить 2 
ПОМ2Х edx, dl ; сбросить все биты кроме 7:0 B EDX в 0 
shl edx, 23 ; подвинуть новую только что вычисленную 
экспоненту на свое место 
ог еах, ейх ; соединить новую экспоненту и оригинальное 
значение без экспоненты 
тоу [ebp+var_4], eax 
fld [ebp+var_4] 
leave 
retn 
_Z1ff endp 
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public main 
main proc near 


push ebp 

mov ebp, esp 

and esp, OFFFFFFFOh 

sub esp, 10h 

fld ds:dword_8048614 ; -4.936 
fstp qword ptr [esp+8] 

mov dword ptr [esp+4], offset asc 8048610 ; "%f\n" 
mov dword ptr [esp], 1 

call __ printf_chk 

xor eax, eax 

leave 

retn 


main endp 


Да, функция f() в целом понятна. Однако, что интересно, еще при компиля- 
ции, невзирая на мешанину с полями структуры, ССС умудрился вычислить ре- 
зультат функции #(1.234) еще во время компиляции и сразу подставить его 
в аргумент для ргіпї# ()! 


1.30.7. Упражнения 


e Пр: //сһа11епдеѕ. ге/ 71 
e Пр: //сһа11епдеѕ. ге/ 72 


1.31. Классическая ошибка с struct 


Вот классическая ошибка с struct. 


Простое определение: 


struct test 
{ 
int fieldl; 
int field2; 
}; 


И файлы на Си: 


void setter(struct test жї, int а, int b) 
{ 
t->fieldl=a; 
t->field2=b; 
}; 


#include <stdio.h> 


void printer(struct test *t) 


{ 
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printf ("%а\п", t->field1); 
printf ("%d\n", t->field2); 
}; 


Пока всё хорошо. 


Теперь вы добавляете третье поле в структуру, где-то между двумя полями: 


struct test 


{ 
int fieldl; 
int inserted; 
int field2; 
}; 


И наверное вы модифицируете ф-цию е{Тег(), но забываете за рг1п*ег(): 


void setter(struct test жї, int а, int b, int с) 


{ 
t->fieldl=a; 
t->inserted=b; 
t->field2=c; 
}; 


Компилируете ваш проект, но файл на Си где находится ф-ция ргіпїег() не ne- 
рекомпилируется. потому что ваша ІрЕ!6 или система сборки не знает о том, 
что этот модуль зависим от определения структуры test. Может быть, MOTO- 
му что забыли добавить #include <пем.һ>. А может потому что заголовочный 
файл пем.Н включен в ргіп+ег. с через какой-то другой заголовочный файл. 
Объектный файл остается неизменным (IDE думает, что его не нужно пересо- 
бирать), в то время как ф-ция ѕеїїег() уже новой версии. Эти два объектных 
файла (старый и новый) в итоге компонуются в исполняемый файл. 


Потом вы его запускаете, и setter () записывает 3 поля по смещениям +0, +4 и 
+8. Хотя, ф-ция printer () знает только о двух полях, и во время печати читает 
их по смещениям +0 и +4. 


Это приводит к очень запутанным и неприятным ошибкам. Причина в том, что 
IDE или система сборки или Makefile не знают, что оба файла на Си (или модули) 
зависят от заголовочного файла с определением test. Популярное решение это 
пересобрать проект полностью, заново. 


Это так же справедливо и для классов в Си+-, так как они работают как струк- 
туры: 3.19.1 (стр. 688). 


Это болезнь Си/Си++, и одна из причин критики, да. Множество новых ЯП nme- 
ют лучшую поддержку модулей и интерфейсов. Но не забывайте о том, когда 
создавался компилятор Си: в 1970-ых, на старых компьютерах PDP. Так что 
создателями Си всё было упрощено до предела. 
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1.32. Объединения (ипіоп) 


ипїоп в Си/Си++используется в основном для интерпретации переменной (или 
блока памяти) одного типа как переменной другого типа. 


1.32.1. Пример генератора случайных чисел 


Если нам нужны случайные значения с плавающей запятой в интервале от 0 до 
1, самое простое это взять ГПСЧ вроде Mersenne twister. Он выдает случайные 
беззнаковые 32-битные числа (иными словами, он выдает 32 случайных бита). 
Затем мы можем преобразовать это число в float и затем разделить на 
КАМО_МАХ (OxFFFFFFFF в данном случае) — полученное число будет в интервале 
от 0 до 1. 


Но как известно, операция деления — это медленная операция. Да и вообще 
хочется избежать лишних операций с FPU. Сможем ли мы избежать деления? 


Вспомним состав числа с плавающей запятой: это бит знака, биты мантиссы и 
биты экспоненты. Для получения случайного числа, нам нужно просто запол- 
нить случайными битами все биты мантиссы! 


Экспонента не может быть нулевой (иначе число с плавающей точкой будет 
денормализованным), так что в эти биты мы запишем 0601111111 — это будет 
означать что экспонента равна единице. Далее заполняем мантиссу случайны- 
ми битами, знак оставляем в виде 0 (что значит наше число положительное), 
и вуаля. Генерируемые числа будут в интервале от 1 до 2, так что нам еще 
нужно будет отнять единицу. 


В моем примере"? применяется очень простой линейный конгруэнтный гене- 
ратор случайных чисел, выдающий 32-битные числа. Генератор инициализи- 
руется текущим временем в стиле UNIX. 


Далее, тип float представляется в виде union — это конструкция Си/Си+ +позволяющая 
интерпретировать часть памяти по-разному. В нашем случае, мы можем со- 

здать переменную типа union и затем обращаться к ней как к float или как к 
иіпЕЗ2 Е. Можно сказать, что это хак, причем грязный. 


Код целочисленного ГПСЧ точно такой же, как мы уже рассматривали ранее: 
1.29 (стр. 432). Так что и в скомпилированном виде этот код будет опущен. 


#include <stdio.h> 
#include <stdint.h> 
#include <time.h> 


// определения, данные n ф-ции для целочисленного PRNG 


// константы из книги Numerical Recipes 
const иіпі32 + А№б а=1664525; 

const иіпї32 + RNG с=1013904223; 

иіпі32 + АМ№С ѕ+аїе; // глобальная переменная 


165 идея взята отсюда: URL 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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void my_srand(uint32 t і) 


RNG_state=i; 

$; 

иіп32 1 ту гапа() 

{ 
АМС _state=RNG_state»xRNG_a+RNG_C; 
return RNG state; 

$; 


// определения и ф-ции ЕРО PRNG: 


union uint32_t_float 


{ 
uint32 t i; 
float f; 
}; 
float float_rand() 
{ 
union uint32_t_float tmp; 
tmp.i=my_rand() & 0x007fffff | 0x3F800000; 
return tmp. 1-1; 
$; 
// тест 
int main() 
{ 
my_srand(time(NULL)); // инициализация PRNG 
for (int i=0; i<100; i++) 
printf ("%f\n", float_rand()); 
return 0; 
$; 
х86 
Листинг 1.359: Оптимизирующий MSVC 2010 
$564238 рв '%f', бан, ӨӨН 
_ real@3ff0000000000000 DQ 031+10000000000000г И" 
tv130 = -4 
_tmp$ = -4 
?float_rand@@YAMXZ PROC 
push ecx 


call ?my_rand@@YAIXZ 
; ЕАХ=псевдослучайное значение 
апа еах, 8388607 ; ОО7ЕЕЕЕЕН 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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ог еах, 1065353216 ; 3f800000H 
; ЕАХ=псевдослучайное значение & 0x007fffff | 0х31800000 
; сохранить его в локальном стеке 


mov DWORD PTR _tmp$[esp+4], eax 
; Перезагрузить его как число с плавающей точкой: 
fld DWORD РТВ tmp$[esp+4] 


; вычесть 1.0: 

fsub QWORD PTR real@3ff0000000000000 
; сохранить полученное значение в локальном стеке и перезагрузить его 
; эти инструкции избыточны: 

fstp DWORD PTR tv130[esp+4] 


fld DWORD PTR tv130[esp+4] 
pop ecx 
ret 0 


?float_rand@@YAMXZ ЕМОР 


_main PROC 
push esi 
xor eax, eax 
call _time 
push eax 
call ?my_s rand@@YAXI@Z 
add esp, 4 
mov esi, 100 
$LL3@main: 
call ?float_rand@@QYAMXZ 
sub esp, 8 


fstp QWORD PTR [esp] 
push OFFSET $564238 


call _printf 
add esp, 12 
dec esi 
jne SHORT $LL3@main 
xor eax, eax 
pop esi 
ret 0 
_таіп ЕМОР 


Имена функций такие странные, потому что этот пример был скомпилирован 
как Си++, и это манглинг имен в Си++, мы будем рассматривать это позже: 
3.19.1 (стр. 690). 


Если скомпилировать это в MSVC 2012, компилятор будет использовать SIMD- 
инструкции для FPU, читайте об этом здесь: 


1.38.5 (стр. 564). 


АВМ (Режим АВМ) 


Листинг 1.360: Оптимизирующий ССС 4.6.3 (IDA) 


float_rand 
STMFD 5Р!, {R3,LR} 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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BL my_rand 

; Вд=псевдослучайное значение 
FLDS S0, =1.0 

; 50=1.0 
BIC R3, RO, #0xFF000000 
BIC R3, R3, #0x800000 
ORR R3, R3, #0x3F800000 


АЗ=псевдослучайное значение & 0x007fffff | 0x3f800000 
копировать из R3 в FPU (регистр 515). 
; это работает как побитовое копирование, без всякого конвертирования 


ЕМЅА 515, ВЗ 
; вычесть 1.0 и оставить результат в 50: 
FSUBS 50, 515, 50 
LDMFD SP!, {R3,PC} 
flt 5С DCFS 1.0 
main 
STMFD SP!, {R4,LR} 
MOV RO, #0 
BL time 
BL my_srand 
MOV R4, #0x64 ; 'd' 
loc 78 
BL float_rand 
; 50=псевдослучайное значение 
LDR RO, =aF "f" 
; сконвертировать значение типа float в значение типа double (это нужно для 
printf()): 
FCVTDS D7, $0 
; побитовое копирование из D7 в пару регистров R2/R3 (для printf()): 
FMRRD R2, R3, D7 
BL printf 
SUBS R4, R4, #1 
BNE loc_78 
MOV RO, R4 
LDMFD SP!, {R4,PC} 
aF DCB "%f",0xA,0 


Мы также сделаем дамп B objdump и увидим, что ЕРУ-инструкции имеют немно- 
го другие имена чем в IDA. Наверное, разработчики IDA и binutils пользовались 
разной документацией? Должно быть, будет полезно знать оба варианта на- 
званий инструкций. 


Листинг 1.361: Оптимизирующий ССС 4.6.3 (обрјаитр) 


00000038 <float_rand>: 


38: е9204008 push {r3, lr} 

3c: ebfffffe bl 10 <my_rand> 

40:  ed9f0a05 vldr 50, [pc, #20] ; 5c <float_rand+0x24> 
44: e3c034ff bic гЗ, гб, #-16777216 ; Oxf f000000 
48: е3с33502 bic r3, r3, #8388608 ; 0x800000 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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4с: е38335Те orr r3, r3, #1065353216 ; 0x3f800000 
50: ee073a90 vmov s15, r3 
54: ee370ac0 уѕир. #32 50, 515, 50 
58: e8bd8008 pop {r3, pc} 
5С: 31800000 SVCCC 0x00800000 
00000000 <main>: 

0: е9204010 push {r4, lr} 

4: e3a00000 mov rO, #0 

8: ebfffffe bl 0 <time> 

с: ebfffffe bl 0 <main> 

10: e3a04064 mov r4, #100 ; 0x64 
14: ebfffffe bl 38 <main+0x38> 

18: e59f0018 ldr rO, [рс, #24] ; 38 <main+0x38> 
1С: eeb77ac0 vcvt.f64.f32 d7, $0 
20: ec532b17 vmov r2, r3, d7 
24: ebfffffe bl 09 <printf> 
28: e2544001 subs r4, r4, #1 
2С: lafffff8 bne 14 <main+0x14> 
30: е1а00004 тоу rO, r4 
34: e8bd8010 pop {r4, pc} 
38: 00000000 andeq r0, rO, го 


Инструкции по адресам Ох5с в float_rand() n 0x38 в таіп() это (псевдо-)случайный 


мусор. 


1.32.2. Вычисление машинного эпсилона 


Машинный эпсилон — это самая маленькая гранула, с которой может работать 
FPU 166, Чем больше бит выделено для числа с плавающей точкой, тем меньше 
машинный эпсилон. Это 272° v 1.19е – 07 для float и 2-5? м 2.29е – 16 для double. 


См.также: статью в Wikipedia. 


Любопытно, что вычислить машинный эпсилон очень легко: 


#include <stdio.h> 
#include <stdint.h> 


union uint_float 

{ 
uint32 t i; 
float f; 

}; 


float calculate тасһіпе ерѕі1оп(#\оаї start) 
{ 
union uint float v; 
v.f=start; 
v.i++; 
return v.f-start; 


} 


166B русскоязычной литературе встречается также термин «машинный ноль». 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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void main() 


{ 
}; 


printf ("%9\п", calculate тасһіпе ерѕі1оп(1.0)); 


Что мы здесь делаем это обходимся с мантиссой числа в формате ІЕЕЕ 754 как 
с целочисленным числом и прибавляем единицу к нему. Итоговое число с пла- 
вающей точкой будет равно starting_value + machine_epsilon, так что нам нужно 
просто вычесть изначальное значение (используя арифметику с плавающей 
точкой) чтобы измерить, какое число отражает один бит в одинарной точно- 
сти (float). union здесь нужен чтобы мы могли обращаться к числу в формате 
IEEE 754 как к обычному целочисленному. Прибавление 1 к нему на самом де- 
ле прибавляет 1 к мантиссе числа, хотя, нужно сказать, переполнение также 
возможно, что приведет к прибавлению единицы к экспоненте. 


х86 
Листинг 1.362: Оптимизирующий MSVC 2010 

1у130 = 8 
_№$ = 8 
_start$ = 8 
_са1 си1а+е machine epsilon PROC 

fld DWORD PTR _start$[esp-4] 
‚ это лишняя инструкция: 

fst DWORD PTR _v$[esp-4] 

inc DWORD PTR _v$[esp-4] 


fsubr DWORD PTR _v$[esp-4] 

; эта пара инструкций также лишняя: 
fstp DWORD PTR tv130[esp-4] 
fld DWORD PTR tv130[esp-4] 
ret 0 

_са1 си1ае machine epsilon ЕМОР 


Вторая инструкция FST избыточная: нет необходимости сохранять входное зна- 
чение в этом же месте (компилятор решил выделить переменную v в том же 
месте локального стека, где находится и входной аргумент). Далее оно инкре- 
ментируется при помощи ІМС, как если это обычная целочисленная перемен- 
ная. Затем оно загружается в FPU как если это 32-битное число в формате IEEE 
754, FSUBR делает остальную часть работы и результат в STO. Последняя пара 
инструкций FSTP/FLD избыточна, но компилятор не соптимизировал её. 


АКМ64 


Расширим этот пример до 64-бит: 


#include <stdio.h> 
#include <stdint.h> 


typedef union 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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иіпї64 t і; 
double а; 
} чіп доче; 


double calculate machine ерѕі1оп(доиЬ1е start) 


{ 
uint_double v; 
v.d=start; 
v.i++; 
return v.d-start; 
} 
void main() 
{ 
printf ("%g\n", calculate machine ерѕі1оп(1.0)); 
$; 


В АКМ64 нет инструкции для добавления числа к О-регистру в FPU, так что 
входное значение (пришедшее в DO) в начале копируется в СРВ, инкременти- 
руется, копируется в регистр FPU 01, затем происходит вычитание. 


Листинг 1.363: Оптимизирующий ССС 4.9 АВМ64 


calculate machine epsilon: 


fmov хо, 40 загрузить входное значение типа double в ХӨ 


ааа x0, х0, 1 ; ХӨ++ 

fmov 01, хө ; переместить его в регистр FPU 
fsub 00, 41, 40 ; вычесть 

геї 


Смотрите также этот пример скомпилированный под X64 с 51Мр-инструкциями: 
1.38.4 (стр. 563). 
MIPS 


Новая для нас здесь инструкция это МТС1 («Move To Coprocessor 1»), она просто 
переносит данные из СРК в регистры РРО. 


Листинг 1.364: Оптимизирующий ССС 4.4.5 (IDA) 


calculate machine epsilon: 
mfc1 $у0, $f12 
or $at, $zero ; МОР 
addiu $v1, $\0, 1 
тїс1 $v1, $f2 
jr $ra 
sub.s $f0, $f2, $f12 ; branch delay slot 


Вывод 


Трудно сказать, понадобится ли кому-то такая эквилибристика в реальном ко- 
де, но как уже было упомянуто много раз в этой книге, этот пример хорошо 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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подходит для объяснения формата ІЕЕЕ 754 и ипїоп в Си/Си++. 


1.32.3. Замена инструкции ЕЅСАІЕ 


Agner Fog в своей работе Optimizing subroutines т assembly language / Ап optimization 


guide for x86 platforms 167 указывает, что инструкция FPU FSCALE (вычисление 
2”) может быть медленной на многих CPU, и он предлагает более быструю 3a- 
мену. 


Вот мой перевод его кода на ассемблер на Си/Си++: 


#include <stdint.h> 
#include <stdio.h> 


union uint_float 


{ 
uint32 t i; 
float f; 

$; 

float flt_2n(int N) 

{ 
union uint_float tmp; 
tmp .i=(N<<23)+0x3f800000; 
return tmp.f; 

$; 

struct float_as_struct 

{ 
unsigned int fraction : 23; 
unsigned int exponent : 8; 
unsigned int sign : 1; 

$; 

float flt_2n_v2(int N) 

{ 
struct float_as_struct tmp; 
tmp.fraction=0; 
tmp.sign=0; 
tmp .exponent=N+0x7f; 
return *(float*)(&tmp); 

$; 

union uint64 double 

{ 
uint64 t i; 
double d; 

$; 


double арі 2п(іпї №) 


167http://ww.agner.org/optimize/optimizing_assembly.pdf 
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пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


491 


{ 
union иіпїб4 double tmp; 
tmp.i=((uint64_t)N<<52)+0x3ff0000000000000UL; 
return tmp.d; 
$; 
struct double аѕ ѕігисї 
{ 
џіпіб4 t fraction : 52; 
int exponent : 11; 
int sign : 1; 
}; 
double арі 2п м2 (іп N) 
{ 
struct double аѕ ѕїгисї tmp; 
tmp.fraction=0; 
tmp.sign=0; 
tmp .exponent=N+0x3ff; 
return *(double*)(&tmp); 
$; 
int main() 
{ 
// 2" = 2048 
printf ("%f\n", flt_2n(11)); 
printf ("%f\n", flt_2n_v2(11)); 
printf ("%1Т\п", dbl_2n(11)); 
printf ("%1Т\п", dbl_2n_v2(11)); 
$; 


Инструкция FSCALE в вашей среде может быть быстрее, но всё же, это хоро- 
шая демонстрация union-a и того факта, что экспонента хранится в виде 2”, 
так что входное значение п сдвигается в экспоненту закодированного в ІЕЕЕ 
754 числа. Потом экспонента корректируется прибавлением 0х3#800000 или 
0х3#0000000000000. 


То же самое можно сделать без сдвигов, при помощи struct, но всё равно, BHYT- 
ри будет операция. 


1.32.4. Быстрое вычисление квадратного корня 


Вот где еще можно на практике применить трактовку типа float как целочис- 
ленного, это быстрое вычисление квадратного корня. 


Листинг 1.365: Исходный код взят из Wikipedia: https://en.wikipedia.org/ 
wiki/Methods о? computing ѕаџаге гооїѕ 


/* Assumes that float is іп the IEEE 754 single precision floating point 2 
S format 
x and that int is 32 bits. */ 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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float sqrt_approx(float z) 
{ 
int val_int = *(int*)&z; /х Same bits, but as an int */ 
/ж 
ж То justify the following code, prove that 
* 
ж ((((val int / 2^m) — b) / 2) + b) ж 2^m = ((val int - 2^m) / 2) + ((/ 
b+ 1) / 2) ж 2^т) 
* 
ж мһеге 
ж 
ж b = exponent bias 
* т = number of mantissa bits 
* 
ж. 
ж/ 
val_int -= 1 << 23; /ж Subtract 2^т. */ 
маї іп >>= 1; /* Divide Бу 2. */ 
val_int += 1 << 29; /ж Ааа ((b +1) / 2) ж 2^m. */ 
return *(Т1оаї*)&уа1_1пї; /* Interpret again аз float */ 
} 


В качестве упражнения, вы можете попробовать скомпилировать эту функцию 
и разобраться, как она работает. 


1 


Имеется также известный алгоритм быстрого вычисления —=. Алгоритм стал 


известным, вероятно потому, что был применен в Quake Ш Arena. 


Описание алгоритма есть в Wikipedia: ВЕЕрз: // ги.мікіредіа.огд/мікі/Быстрый _ 
обратный квадратный корень. 


1.33. Указатели на функции 
Указатель на функцию, в целом, как и любой другой указатель, просто адрес, 
указывающий на начало функции в сегменте кода. 
Это часто применяется для вызовов т.н. сабраск-функций. 
Известные примеры: 
* qsort(), атехії() из стандартной библиотеки Си; 
e сигналы в *МІХ ОС; 
e запуск тредов: Сгеа+еТһгеаа () (м т32), ріһгеаа сгеаїе() (POSIX); 
• множество функций мт32, например Епитсһі1 аміпаомѕ (). 


• множество мест в ядре Linux, например, функции драйверов файловой 
системы вызываются через callback-n. 


• функции плагинов ССС также вызываются через саПБаск-и. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Итак, функция а5ог* () это реализация алгоритма «быстрой сортировки». Функ- 
ция может сортировать что угодно, любые типы данных, но при условии, что 
вы имеете функцию сравнения этих двух элементов данных и qsort() может 
вызывать её. 


Эта функция сравнения может определяться так: 


int (жсотраге) (сопѕї void ж, const void ж) 


Попробуем такой пример: 


/ж ex3 Sorting ints with qsort */ 


#include <stdio.h> 
#include <stdlib.h> 


int comp(const void ж а, const void ж b) 


{ 


const int »a=(const int ж) а; 


const int *b=(const int ж) Ы; 
if (жа==жб) 

return 0; 
else 

if (xa < *b) 

return -1; 
else 
return 1; 


} 


int main(int argc, char» argv[]) 

{ 
int numbers[10]={1892,45,200,-98 ,4087,5,-12345,1087,88,-100000}; 
int i; 


/ж Sort the array */ 
qsort(numbers,10,sizeof(int),comp) ; 
for (i=0;i<9; i++) 

printf("Number = %d\n",numbers[ i ]) ; 
return 0; 


1.33.1. MSVC 


Компилируем B MSVC 2010 (некоторые части убраны для краткости) с опцией 
/0х: 


Листинг 1.366: Оптимизирующий М5\С 2010: /65- /MD 


_а$ = 8 ; 51те = 4 
_ b$ = 12 ; 51те = 4 
_сотр PROC 

mov eax, DWORD PTR _ а$[езр-4] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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тоу ecx, DWORD РТВ __ 0$ [еѕр-4] 
mov eax, DWORD PTR [eax] 
mov ecx, DWORD PTR [ecx] 
cmp eax, ecx 
jne SHORT $LN4@comp 
xor eax, eax 
ret 0 
$LN4@comp : 
хог edx, edx 
cmp eax, ecx 
setge dl 
lea eax, DWORD PTR [edx+edx-1] 
ret 0 
_ сотр ЕМОР 
_питбег$$ = -40 ; size = 40 
_агдс$ = 8 ; size = 4 
_argv$ = 12 ; 5176 = 4 
_таіп PROC 
sub esp, 40 ; 00000028H 
push esi 
push OFFSET _comp 
push 4 
lea eax, DWORD РТВ numbers$[esp+52] 
push 10 ; 0000000aH 
push eax 
mov DWORD PTR _numbers$[esp+60], 1892 ; 00000764H 
mov DWORD РТА _numbers$[esp+64], 45 ; 0000002ан 
тоу DWORD РТА _numbers$[esp+68], 200 ; 000000c8H 
mov DWORD PTR _numbers$[esp+72], -98 ; ffffff9eH 
mov DWORD PTR _numbers$[esp+76], 4087 ; 00000ff7H 
mov DWORD PTR _numbers$[esp+80], 5 
mov DWORD PTR _numbers$[esp+84], -12345 > РЕРЕСҒС7Н 
тоу DWORD РТА _питрег$$ [е5р+88], 1087 ; 0000043fH 
тоу DWORD РТА _питбег5$ [е5р+92], 88 ; 00000058H 
тоу DWORD РТК _питбег$$ [еѕ5р+96], -100000 ; fffe7960H 
са11 _qsort 
add esp, 16 ; 00000010H 


Ничего особо удивительного здесь мы не видим. В качестве четвертого ap- 
гумента, в 450г*() просто передается адрес метки _сотр, где собственно и 
располагается функция сотр (), или, можно сказать, самая первая инструкция 
этой функции. 


Как а5ог*() вызывает её? 


Посмотрим в MSVCR80.DLL (эта DLL куда в М5\/С вынесены функции из стан- 
дартных библиотек Си): 


Листинг 1.367: MSVCR80.DLL 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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.text:7816CBF0 ; void cdecl qsort(void *, unsigned int, unsigned int, int 
( cdecl *)(const void *, const void *)) 
.text:7816CBF0 public _qsort 
.text:7816CBFO qsort proc near 
.text:7816CBF0 
.text:7816CBF0 lo 
.text:7816CBF0 hi 
.text:7816CBF0 var FC 
.text:7816CBF0 stkptr 
„Хехе: 7816СВЕО lostk 
.Техт:7816СВЕО histk 
.text:7816CBF0 base 
.text:7816CBF0O пит 
.text:7816CBF0O width 
.text:7816CBF0 comp 
.text:7816CBF0 


dword ptr —104һ 
dword ptr —100һ 
dword ptr -0FCh 
dword ptr -0F8h 
dword ptr -0F4h 
dword ptr —7Сһ 
dword ptr 4 

dword ptr 8 

dword ptr ОСН 
dword ptr 10h 


.text:7816CBF0 sub esp, 100h 
.text:7816CCE0 loc 7816CCE0: ; CODE XREF: qsort+B1 
.text:7816CCE0 shr eax, 1 

. text :7816CCE2 imul eax, ebp 
.text:7816CCE5 add eax, ebx 

. text :7816CCE7 mov edi, eax 
.text:7816CCE9 push edi 

.text:7816CCEA push ebx 

.text:7816CCEB call [esp+118h+comp] 
.text:7816CCF2 add esp, 8 
.text:7816CCF5 test eax, eax 
.text:7816CCF7 jle short loc 7816С004 


сотр — это четвертый аргумент функции. Здесь просто передается управле- 
ние по адресу, указанному в сотр. Перед этим подготавливается два аргумен- 
та для функции сотр (). Далее, проверяется результат её выполнения. 


Вот почему использование указателей на функции — это опасно. Во-первых, 
если вызвать qsort() с неправильным указателем на функцию, то 4950г" (), 
дойдя до этого вызова, может передать управление неизвестно куда, процесс 
упадет, и эту ошибку можно будет найти не сразу. 


Во-вторых, типизация са!Баск-функции должна строго соблюдаться, вызов не 
той функции с не теми аргументами не того типа, может привести к плачевным 
результатам, хотя падение процесса это и не проблема, проблема — это найти 
ошибку, ведь компилятор на стадии компиляции может вас и не предупредить 
о потенциальных неприятностях. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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MSVC + OllyDbg 


Загрузим наш пример в OllyDbg и установим точку останова на функции сотр (). 
Как значения сравниваются, мы можем увидеть во время самого первого вы- 
зова сотр(): 


CPU - main thread, module 17_1 


884424 04 MOU EAX, DWORD PTR 55: [АВб. 1] 
MOU ECX, DWORD PTR SS:[ARG. 2] 
МОУ EAX, DWORD PTR 05: [EAX] 
МОУ ECX, DWORD РТВ DS:[ECX] 
CMP EAX, ECX 

JNE SHORT 98201813 

XOR EAX, EAX 

RETN 

XOR EDX, EDX 

СМР EAX, ECX 

SETGE DL 

804412 FF LEA EAX, [EDX+EDX-1] 

єз ВЕТМ 


isters (FPU) 

‹ 98908764 
00000005 

‹ В00000Ва 

‹ ВВЗТЕЕСС 
0037FD80 

› ПОЗТҒЕ9З 

ВВЗ7ЕЕОС 

0037FEB8 


ОЙҒО100С 17_1.@@ЕП1@@С 


E @(ЕЕЕЕЕЕЕЕ) 
Я(ЕЕЕЕЕЕЕЕ) 
В(ЕЕЕЕРЕЕЕ) 

D it ØLFFFFFFFF) 

F ZEFDDØQØLFFF) 

G › 32 ØLFFFFFFFF) 


veo» 
m D 
DO T канч 


сс 
ӨЗЕС 2С 


чог ито м тттттттт 5) 
[лл]. 


ЕСХ=5 
EAX=00000764 (decimal 1892.) 


оо 


Рис. 1.109: OllyDbg: первый вызов сотр () 


Для удобства, OllyDbg показывает сравниваемые значения в окне под окном 
кода. Мы можем так же увидеть, что SP указывает на ВА где находится место 
в функции qsort() (на самом деле, находится в MSVCR100. DLL). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Трассируя (F8) до инструкции RETN и нажав F8 еще один раз, мы возвращаемся 
в функцию 950г (): 


СРО - main thread, module MSVCR100 


ЧИР SHORT 6ESF4ACF 
SHR EAX, 1 
IMUL EBX, EAX 
ADD EBX, EDI 
SH EBX 


” 
ТЕЗТ _ЕЯХ, EAX 

JLE SHORT 6ЕЗР4В5З 

МОУ EDX, DWORD РТВ 55: [ЕВР+18] 
МОУ EAX, EBX 

СМР ЕОТ, EBX 

JE SHORT 6E3F4853 

МОМ ECX, EDI 


00. 6E3F4B20 

‚ В(ЕЕЕЕЕЕЕЕ) 
В(ЕЕРЕЕЕЕЕ) 

t В(ЕЕЕЕЕЕЕЕ) 

‚ ØLFFFFFFFF) 
?ЕРООЯ8В( ЕЕЕ) 
В(ЕЕЕЕЕЕЕЕ) 


Рис. 1.110: OllyDbg: код в дѕогї() сразу после вызова сотр () 


Это был вызов функции сравнения. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


Вот также скриншот момента второго вызова функции сотр () —теперь сравни- 


ваемые значения другие: 


CPU - main thread, module 17_1 


$ 564424 04 
„ 884024 08 


а 
XOR EAX, EAX 


RETN 

XOR EDX, EDX 
СМР _EAX, ECX 
SETGE DL 


MOU EAX, DWORD PTR 55: [АВб. 1] 
MOU ECX, DWORD PTR 55: [АВб.2] 
МОУ EAX, DWORD РТВ DS:[EAX] 
МОУ ECX, DWORD РТВ DS:[ECX] 


см 
УМЕ SHORT 98201813 


ЕЯ EAX, [ЕОХ+ЕОХ-11 
RETN 


Рис. 1.111: OllyDbg: второй вызов сотр ( ) 


М5ҮС + tracer 


Посмотрим, какие пары сравниваются. Эти 10 чисел будут сортироваться: 1892, 


45, 200, -98, 4087, 5, -12345, 1087, 88, -100000. 


Найдем адрес первой инструкции СМР в сотр () и это 0х0040100С и мы ставим 


точку останова на ней: 


ØLFFFFFFFF) 
ØLFFFFFFFF) 
ØLFFFFFFFF) 
TEFDDOOA( FFF) 


ØLFFFFFFFF) 


tracer.exe -1:17_1.ехе bpx=17_1.exe!0x0040100C 


Получаем информацию о регистрах на точке останова: 


Р10=4336 | Мем ргосеѕ5 17_1.ехе 
(0) 17 1. ехе! 0х40100с 
ЕАХ=0х00000764 ЕВХ=0х005117с8 
Е51=0х0051+#748 Ер1=0х0051+#704 
ЕТР=0х0028100с 

FLAGS=IF 

(0) 17_1.exe!0x40100c 
EAX=0x00000005 EBX=0x0051f7c8 
ESI=0x0051f7d8 EDI=0x0051f7b4 
EIP=0x0028100c 

FLAGS=PF ZF IF 

(0) 17_1.exe!0x40100c 
EAX=0x00000764 EBX=0x0051f7c8 
ESI=0x0051f7d8 EDI=0x0051f7b4 
EIP=0x0028100c 

FLAGS=CF PF ZF IF 


ECX=0x00000005 
EBP=0x0051f794 


ECX=0xfffe7960 
EBP=0x0051f794 


ECX=0x00000005 
EBP=0x0051f794 


EDX=0x00000000 
ESP=0x0051f67c 


EDX=0x00000000 
ESP=0x0051f67c 


EDX=0x00000000 
ESP=0x0051f67c 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


Отфильтруем ЕАХ и ЕСХ и получим: 


ЕАХ=0х00000764 
ЕАХ=0х00000005 
ЕАХ=0х00000764 
ЕАХ=0х0000002а 
ЕАХ=0х00000058 
ЕАХ=0х0000043Т 
EAX=0xf ff fcfc7 
ЕАХ=0х000000с8 
EAX=0xffffff9e 
EAX=0x00000ff7 
EAX=0x00000ff7 
EAX=0xffffff9e 
EAX=0xffffff9e 
EAX=0xf ff fcfc7 
EAX=0x00000005 
EAX=0xffffff9e 
EAX=0xf ff fcfc7 
EAX=0xffffff9e 
EAX=0xf ff fcfc7 
EAX=0x000000c8 
EAX=0x0000002d 
EAX=0x0000043f 
EAX=0x00000058 
EAX=0x00000764 
EAX=0x000000c8 
EAX=0x0000002d 
EAX=0x0000043f 
EAX=0x00000058 
EAX=0x000000c8 
EAX=0x0000002d 
EAX=0x0000043f 
EAX=0x000000c8 
EAX=0x0000002d 
EAX=0x0000002d 


ECX=0x00000005 
ECX=0xff fe7960 
ECX=0x00000005 
ECX=0x00000005 
ECX=0x00000005 
ECX=0x00000005 
ECX=0x00000005 
ECX=0x00000005 
ECX=0x00000005 
ECX=0x00000005 
ECX=0x00000005 
ECX=0x00000005 
ECX=0x00000005 
ECX=0xff fe7960 
ECX=0xffffcfc7 
ECX=0x00000005 
ECX=0xff fe7960 
ECX=0xffffcfc7 
ECX=0xff fe7960 
ECX=0x00000f f7 
ECX=0x00000f f7 
ECX=0x00000f f7 
ECX=0x00000f f7 
ECX=0x00000f f7 
ECX=0x00000764 
ECX=0x00000764 
ECX=0x00000764 
ECX=0x00000764 
ECX=0x00000058 
ECX=0x000000c8 
ECX=0x000000c8 
ECX=0x00000058 
ECX=0x000000c8 
ECX=0x00000058 


Это 34 пары. Следовательно, алгоритму быстрой сортировки нужно 34 опера- 
ции сравнения для сортировки этих 10-и чисел. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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М5ҮС + tracer (code coverage) 


Но можно также и воспользоваться возможностью tracer накапливать все воз- 
можные состояния регистров и показать их в IDA. 


Трассируем все инструкции в функции сотр (): 


{гасег.ехе —1:17_1.ехе Бр?=17 1.ехе!0х00401000, їгасе: сс 


Получем .іас-скрипт для загрузки в IDA и загружаем его: 


.ТехЕ: 00401000 
- Сех : 00401000 
-Сехі : 00401000 
„Сех: 60501606 
„Сех: 00401000 
„Сех: 00401000 
„Сех: 00401000 
„Сех: 004091000 
-СехЕ: 60301605 
- Сех: 00401008 
- Сех: 00401007 
-text :0040108C 
-text :00401 09E 
-text:00401018 
-text:00401012 


-text:00401013 ; 


-ТехЕ: 00501613 
-ТехЕ: 00501613 
-Сехі: 00501613 
- Сех: 005016015 
- Сех: 00501017 
- Сех: 00501018 
- Сех: 90401 91Е 
-Сехі: 90401 91Е 
-text :AALAIAIF 


; int _ cdecl PtFuncCompare(const void *, const void ж) 


PtFuncCompare 


arg_8 
arg_* 


1ос_н81813: 


PtFuncCompare 


proc near 


; DATA XREF: _паіп+540 


dword ptr 4 
dword ptr 8 


eax, [esp+arg_0] ; [ESP+4]=0x45f7ec ..0x45f810(step=4), L"?\x04? 
ecx, [esp+arg_*] ; [ESP+8]=0x45f7ec..0x45f7f4(step=4), BX45f7fC 


eax, [eax] ; [EAX]=5, 08х21, 0x58, Oxc8, ӨхНЗР, 0x7ő4, ОхЕЕ 
ecx, [ecx] з [ЕСХ]=5, 0x58, Oxc8, 0x7ő4, Oxff7, ӨХҒҒҒеғ9бв 
eax, есх ; EAX=5, 0x2d, 0x58, 0хс8, ӨхНЗР, Ох7бн, Oxff7, 
short 10с_ +01613 ; ZF=false 
eax, eax 

; CODE XREF: РЕғипсСопраке+ЕЇј 
edx, edx 
eax, ecx ; EAX=5, 0x2d, 0x58, 0хс8, ӨхНЗР, Ох7бн, Oxff7, 
dl ; SF=false,true 0F=false 
eax, [edx+edx-1] 

; EAX=1, ОХЕЕЕЕЕЕЕЕ 


Рис. 1.112: tracer и IDA. N.B.: некоторые значения обрезаны справа 


Имя этой функции (РЕРипсСотраге) дала І0А— видимо, потому что видит что 
указатель на эту функцию передается в qsort(). 


Мы видим, что указатели а и b указывают на разные места внутри массива, но 
шаг между указателями — 4, что логично, ведь в массиве хранятся 32-битные 


значения. 


Видно, что инструкции по адресам 0х401010 и 0х401012 никогда не исполня- 
лись (они и остались белыми): действительно, функция сотр () никогда не воз- 
вращала 0, потому что в массиве нет одинаковых элементов. 


1.33.2. ССС 


Не слишком большая разница: 


Листинг 1.368: ССС 


Теа 
mov 


eax, 


[esp+40h+var_28] 


[esp+40h+var_40], eax 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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тоу [esp+40h+var_28], 764h 

mov [esp+40h+var_24], 2Dh 

mov [esp+40h+var_20], OC8h 

mov [esp+40h+var_1C], OFFFFFF9Eh 
mov [esp+40h+var_18], OFF7h 

mov [esp+40h+var_14], 5 

mov [esp+40h+var_10], OFFFFCFC7h 
mov [esp+40h+var_C], 43Fh 

mov [esp+40h+var_8], 58h 

mov [esp+40h+var_4], OFFFE7960h 
mov [esp+40h+var_34], offset comp 
mov [еѕр+40һ+муаг 38], 4 

mov [esp+40h+var_3C], ОАһ 

call _qsort 


Функция comp(): 


public comp 


comp proc near 
arg 0 = dword ptr 8 
arg_4 = dword ptr 0Сһ 
push ebp 
mov ebp, esp 
mov eax, [ebp+arg_4] 
mov ecx, [ebp+arg_0] 
mov edx, [eax] 
xor eax, eax 
cmp [ecx], edx 
jnz short loc 8048458 
pop ebp 
retn 
loc 8048458: 
setnl al 
movzx eax, al 
lea eax, [eax+eax-1] 
pop ebp 
retn 
comp endp 


Реализация qsort() находится в libc.so.6, и представляет собой просто wrapper 
168 для дѕогі г(). 


Она, в свою очередь, вызывает ди1сК$ог* (), где есть вызовы определенной 
нами функции через переданный указатель: 


Листинг 1.369: (файл ПБс.50.6, версия glibc: 2.10.1) 


.Техт: 000200276 mov edx, [ebp+arg_10] 
. text: 0002DDF9 mov [esp+4], esi 
. text :0002DDFD mov [esp], edi 


168 понятие близкое к thunk function 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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. text :0002DE00 mov [esp+8], edx 
. text: 0002рЕ04 call [ebp+arg_C] 


GCC + GDB (с исходными кодами) 


Очевидно, у нас есть исходный код нашего примера на Си (1.33 (стр. 493)), 
так что мы можем установить точку останова (5) на номере строки (11-й — это 
номер строки где происходит первое сравнение). Нам также нужно скомпили- 
ровать наш пример с ключом -9, чтобы в исполняемом файле была полная от- 
ладочная информация. Мы можем так же выводить значения используя имена 
переменных (р): отладочная информация также содержит информацию о том, 
в каком регистре и/или элементе локального стека находится какая перемен- 
ная. 


Мы можем также увидеть стек (bt) и обнаружить что в Сс используется 
какая-то вспомогательная функция с именем 
msort with_tmp(). 


Листинг 1.370: СОВ-сессия 


dennis@ubuntuvm:~/polygon$ gcc 17_1.c -g 
dennis@ubuntuvm:~/polygon$ gdb ./a.out 

GNU gdb (GDB) 7.6.1-ибипфи 

Copyright (C) 2013 Free Software Foundation, Inc. 


Reading symbols from /home/dennis/polygon/a.out...done. 
(gdb) b 17_1.c:11 

Breakpoint 1 at 0x804845f: file 17_1.c, line 11. 

(gdb) run 

Starting program: /home/dennis/polygon/./a.out 


Breakpoint 1, сотр (_a=0xbffffOf8, b= b@entry=0xbffffOfc) at 17_1.с:11 
11 if (жа==жЬ) 
(gdb) р жа 


(996) с 
Continuing. 


Breakpoint 1, сотр (_a=0xbffff104, b= b@entry=0xbffff108) at 17 1.с:11 
11 if (xa==*b) 


(gdb) bt 

#0 comp (_a=0xbffffOf8, b= b@entry=0xbffffOfc) at 17_1.с:11 

#1 0х67е42872 in msort_with_tmp (p=p@entry=0xbffff07c, b=b@entry=0 2 
s xbffffOf8, n=n@entry=2) 
at msort.c:65 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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#2 0хЬ7е4273е іп тѕогї міїһ +тр (п=2, b=0xbffffOf8, p=0xbffff07c) at msortz 
Y .с:45 

#3 msort міїһ тр (p=p@entry=0xbffff07c, b=b@entry=0xbffffOf8, п=п@епїгу 2 
S =5) at тѕогі.с:53 

#4 0х67е4273е іп тѕогї міїһ тр (п=5, b=0xbffffOf8, p=0xbffff07c) at тѕогї 
Y .с:45 

#5 msort міїһ тр (p=p@entry=0xbffff07c, b=b@entry=0xbffffOf8, п=п@епїгу 2 
5 =19) at тѕогї.с:53 

#6 0х67е42сеР іп тѕогї міїһ тр (п=10, b=0xbffffOf8, p=0xbffff07c) at х 
$; msort.c:45 

#7 СІ аѕогї г (b=b@entry=0xbffffOf8, п=п@епфгу=10, 5=5@епїгу=4, стр= 2 
„ стр@епфгу=0х8048444 <сотр>, 
агд=агд@епї гу=0х0) at msort.c:297 

#8 0хЬ7е42аст in __ СТ аѕогї (b=0xbffffOf8, п=10, 5=4, стр=0х8048444 <сотр / 
У >) at msort.c:307 

#9 0х0804850а іп main (агдс=1, argv=0xbffff1c4) at 17_1.c:26 

(gdb) 


GCC + GDB (без исходных кодов) 


Но часто никаких исходных кодов нет вообще, так что мы можем дизассембли- 
ровать функцию сотр () (disas), найти самую первую инструкцию СМР и устано- 
вить точку останова (5) по этому адресу. На каждой точке останова мы будем 
видеть содержимое регистров (info registers). Информация из стека так же 
доступна (bt), но частичная: здесь нет номеров строк для функции сопр(). 


Листинг 1.371: СОВ-сессия 


dennis@ubuntuvm:~/polygon$ gcc 17_1.с 
dennis@ubuntuvm:~/polygon$ gdb ./a.out 

GNU gdb (GDB) 7.6.1-ubuntu 

Copyright (C) 2013 Free Software Foundation, Inc. 


Reading symbols from /home/dennis/polygon/a.out...(no debugging symbols 2 
S found). . .допе. 

(gdb) set disassembly-flavor intel 

(gdb) disas comp 

Dump of assembler code for function comp: 


0x0804844d <+0>: push ebp 

0x0804844e <+1>: mov ebp,esp 

0x08048450 <+3>: sub esp, 0x10 

0x08048453 <+6>: mov eax,DWORD PTR [ebp+0x8] 
0x08048456 <+9>: mov DWORD PTR [ebp-0x8],eax 
0x08048459 <+12>: mov eax,DWORD PTR [ebp+0xc] 
0x0804845c <+15>: mov DWORD PTR [ерр-0х4],еах 
0х0804845Т <+18>: тоу eax,DWORD РТА [ебр-0х8] 
0х08048462 <+21>: тоу edx,DWORD РТВ [eax] 
0x08048464 <+23>: mov eax,DWORD PTR [ebp-0x4] 
0x08048467 <+26>: mov eax,DWORD PTR [eax] 
0x08048469 <+28>: cmp edx, eax 

0x0804846b <+30>: jne 0x8048474 <comp+39> 
0x0804846d <+32>: mov eax, 0x0 

0x08048472 <+37>: jmp 0x804848e <comp+65> 
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0х08048474 <+39>: тоу 
0х08048477 <+42>: тоу 
0х08048479 <+44>: тоу 
0х0804847с <+47>: тоу 
0х0804847е <+49>: стр 
0х08048480 <+51>: 1де 
0х08048482 <+53>: mov 
0x08048487 <+58>: jmp 
0x08048489 <+60>: mov 
0x0804848e <+65>: leave 
0x0804848f <+66>: ret 


End of assembler dump. 
(gdb) b *0х08048469 
Breakpoint 1 at 0x8048469 
(gdb) run 


eax,DWORD PTR [ebp-0x8] 
edx,DWORD PTR [eax] 
eax,DWORD PTR [ebp-0x4] 
eax,DWORD PTR [eax] 
edx, eax 

0x8048489 <comp+60> 
eax, Oxffffffff 
0x804848e <comp+65> 
eax,0x1 


Starting program: /home/dennis/polygon/./a.out 


Breakpoint 1, 0x08048469 in comp () 


(gdb) info registers 


eax 0x2d 45 

ecx OxbffffOf8 -1073745672 
edx 0x764 1892 

ebx 0xb7fc0000 -1208221696 
esp Oxbfffeeb8 Oxbfffeeb8 
ebp Oxbfffeec8 Oxbfffeec8 
esi OxbffffOfc -1073745668 
edi Oxbffff010 -1073745904 
eip 0x8048469 0x8048469 <comp+28> 
eflags 0x286 [ PF SF IF ] 

cs 0x73 115 

55 90х76 123 

ds 0x7b 123 

es 0x7b 123 

fs 0x0 0 

95 0x33 51 

(gdb) c 

Continuing. 


Breakpoint 1, 0x08048469 in comp () 


(gdb) info registers 


eax Oxff7 4087 

ecx Oxbffff104 -1073745660 
edx Oxffffff9e -98 

ebx 0xb7fc0000 -1208221696 
esp Oxbfffee58 Oxbfffee58 
ebp Oxbfffee68 Oxbfffee68 
esi Oxbffff108 -1073745656 
edi Oxbffff010 -1073745904 
eip 0x8048469 0x8048469 <comp+28> 
eflags 0x282 [ SF IF ] 

cs 0x73 115 

55 09х76 123 

ds 0x7b 123 
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е5 90х76 123 
fs 0x0 0 
95 0x33 51 
(gdb) c 

Continuing. 


Breakpoint 1, 0x08048469 in comp () 
(gdb) info registers 


eax Oxffffff9e -98 

ecx Oxbffff100 -1073745664 
edx 0хс8 200 

ерх 0xb7fc0000 -1208221696 
esp Oxbfffeeb8 Oxbfffeeb8 
ebp Oxbfffeec8 Oxbfffeec8 
esi Oxbffff104 -1073745660 
edi Oxbffff010 -1073745904 
eip 0x8048469 0x8048469 <comp+28> 
eflags 0x286 [ PF SF IF ] 

cS 0x73 115 

55 90х76 123 

ds 0x7b 123 

es 0x7b 123 

fs 0x0 0 

95 0x33 51 

(gdb) bt 

#0 0x08048469 in comp () 


#1 


#2 


#3 


#4 


#5 


#6 


#7 


#8 


#9 


0х67е42872 іп мзогЕ міїһ %тр (p=p@entry=0xbffff07c, р=р@епїгу=0 2 

s xbffffOf8, п=п@епігу=2) 

at msort.c:65 

0xb7e4273e in msort_with_tmp (п=2, b=0xbffffOf8, p=0xbffff07c) at msortz 
Y .с:45 

msort_with_tmp (p=p@entry=0xbffff07c, b=b@entry=0xbffffOf8, п=п@епїгу 2 
S =5) at msort.c:53 

0xb7e4273e in msort_with_tmp (n=5, b=0xbffffOf8, p=0xbffff07c) at msortz 
Y .с:45 

msort_ with_tmp (p=p@entry=0xbffff07c, b=b@entry=0xbffffOf8, п=п@епїгу 2 
S =19) at msort.c:53 

0xb7e42cef in msort_with_tmp (n=10, b=0xbffffOf8, p=0xbffff07c) at / 

$; msort.c:45 

_ GI qsort_r (b=b@entry=0xbffffOf8, n=n@entry=10, s=s@entry=4, стр=/ 

„ cmp@entry=0x804844d <сотр>, 

агд=агд@епї гу=0х0) at msort.c:297 

0xb7e42dcf іп _GI_qsort (b=0xbffffOf8, п=10, 5=4, стр=0х8048444 <сотр 2 
4 >) at тѕогі.с:307 

0x0804850d in main () 


1.33.3. Опасность указателей на ф-ции 


Как мы можем видеть, ф-ция qsort() ожидает указатель на ф-цию, которая 
берет на вход два аргумента типа void* и возвращает целочисленное число. 
Если в вашем коде есть несколько разных ф-ций сравнения (одна сравнивает 
строки, другая — числа, ит. д.), очень легко их перепутать друг с другом. Вь 
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можете попытаться отсортировать массив строк используя ф-цию сравниваю- 
щую числа, и компилятор не предупредит вас об ошибке. 


1.34. 64-битные значения в 32-битной среде 


В среде, где СРВ-ы 32-битные, 64-битные значения хранятся и передаются как 
пары 32-битных значений 169. 


1.34.1. Возврат 64-битного значения 


#include <stdint.h> 


uint64 t f () 
{ 


}; 


return 0х1234567890АВСОЕЕ; 


х86 


64-битные значения в 32-битной среде возвращаются из функций в паре реги- 
стров ЕБХ:ЕАХ. 


Листинг 1.372: Оптимизирующий MSVC 2010 


f PROC 
mov eax, -1867788817 ; 90abcdefH 
mov edx, 305419896 ; 12345678H 
ret 0 

Ст ЕМОР 

ARM 


64-битное значение возвращается B паре регистров RO-R1 — (R1 это старшая 
часть и RO — младшая часть): 


Листинг 1.373: Оптимизирующий Кей 6/2013 (Режим ARM) 


| If] | PROC 
LDR 


го, |10.12 | 
LDR r1, | [0.16 | 
ВХ tr 
ENDP 
|L0.12]| 
DCD 0x90abcdef 
1.0.16] 
рср 0х12345678 


169Кстати, в 16-битной среде, 32-битные значения передаются 16-битными парами точно так же: 
3.31.4 (стр. 828) 
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MIPS 


64-битное значение возвращается в паре регистров VO-V1 ($2-$3) — (VO ($2) это 


старшая часть и V1 ($3) — младшая часть): 


Листинг 1.374: Оптимизирующий ССС 4.4.5 (assembly listing) 


11 $3,-1867841536 # Oxffffffff90ab0000 
11 $2,305397760 # 0х12340000 

ori $3, $3,0xcdef 

j $31 

ori $2,$2,0x5678 


Листинг 1.375: Оптимизирующий ССС 4.4.5 (IDA) 


lui $v1, 0х90АВ 

lui $у0, 0x1234 

li $v1, 0x90ABCDEF 
jr $ra 

li $v0, 0х12345678 


1.34.2. Передача аргументов, сложение, вычитание 


#include <stdint.h> 


uint64 t f_add (uint64 t а, џіпїб4 t b) 
{ 


}; 


return a+b; 


void f_add_test () 


{ 
#ifdef  GNUC 
printf ("%lld\n", f_add(12345678901234, 23456789012345) ) ; 


#else 

printf ("%I64d\n", f ай4(12345678901234, 23456789012345) ); 
#endif 
$; 
uint64 t Т sub (иіпіб4 t а, uint64 t b) 
{ 

return a-b; 
$; 
х86 

Листинг 1.376: Оптимизирующий М5\С 2012 /Ob1 

_а$ = 8 ; 512е = 8 
_0$ = 16 ; size = 8 
_Т ааа PROC 

тоу eax, DWORD РТВ _а$[е<р-4] 
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ааа eax, DWORD РТА 0$ [еѕр-4] 
mov edx, DWORD PTR _a$[esp] 
adc edx, DWORD PTR _b$[esp] 
ret 0 

+ ааа ЕМОР 

_Т ааа еѕі PROC 
push 5461 ; 00001555H 
push 1972608889 ; 75939f79H 
push 2874 ; 00000b3aH 
push 1942892530 ; 73ce2ff2H 
call _f_add 
push edx 
push eax 
push OFFSET $561436 ; '%1644', бан, 00H 
call _printf 
add esp, 28 
ret 0 


_Т ааа ї+еѕї ЕМОР 


_Т sub PROC 
mov eax, DWORD PTR _a$[esp-4] 
sub eax, DWORD PTR b$[esp-4] 
mov edx, DWORD РТВ _a$[esp] 
sbb edx, DWORD PTR _b$[esp] 
ret 0 

_Т sub ЕМОР 


ВТ ада +еѕї() видно, как каждое 64-битное число передается двумя 32-битными 
значениями, сначала старшая часть, затем младшая. 


Сложение и вычитание происходит также парами. 


При сложении, в начале складываются младшие 32 бита. Если при сложении 
был перенос, выставляется флаг СЕ. Следующая инструкция АБС складывает 
старшие части чисел, но также прибавляет единицу если СЕ = 1. 


Вычитание также происходит парами. Первый 50В может также включить флаг 
переноса СЕ, который затем будет проверяться в 5ВВ: если флаг переноса 
включен, то от результата отнимется единица. 


Легко увидеть, как результат работы f_add() затем передается в ргіпї# (). 


Листинг 1.377: ССС 4.8.1 -O1 -#по-іпііпе 


_f ада: 
mov eax, DWORD PTR [esp+12] 
mov edx, DWORD PTR [esp+16] 
add eax, DWORD PTR [esp+4] 
adc edx, DWORD PTR [esp+8] 
ret 
_f_add_test: 
sub esp, 28 
mov DWORD PTR [esp+8], 1972608889 ; 75939f79H 
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mov 
mov 
mov 
call 
mov 
mov 
mov 
call 
add 
ret 


Ж sub: 
mov 
mov 
sub 
sbb 
ret 


DWORD PTR [esp+12], 5461 ; 
DWORD РТА [esp], 1942892530 ; 
DWORD РТВ [езр+4], 2874 Е 
_f_add 

DWORD PTR [esp+4], eax 

DWORD PTR [esp+8], edx 


DWORD PTR [esp], OFFSET FLAT:LCO ; 


_printf 
esp, 28 


eax, DWORD PTR [esp+4] 
edx, DWORD PTR [esp+8] 
eax, DWORD PTR [esp+12] 
edx, DWORD PTR [esp+16] 


Код GCC почти такой же. 


АВМ 
Листинг 1.378: Оптимизирующий Кей 6/2013 (Режим ARM) 
{ ааа PROC 
ADDS го, го, г2 
АБС rl,r1,r3 
BX tr 
ENDP 
f_sub PROC 
SUBS r0,r0,r2 
SBC rl,r1,r3 
BX tr 
ENDP 
f_add_test PROC 
PUSH {r4, 1r} 
LDR r2, |10.68| ; 0x75939f79 
LDR r3, [0.72] ; 0x00001555 
LDR го, |10.76| ; 0x73ce2ff2 
LDR г1, |10.80| ; 0x00000b3a 
BL f_add 
POP {r4, 1r} 
MOV г2,г0 
MOV r3,r1 
ADR rO, |L0.84| ; "%I64d\n" 
B _ 2printf 
ENDP 
|L0.68| 
DCD 0x75939f79 
|L0.72| 
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рср 0х00001555 
[0.76] 

рср 0х73се2##2 
1.0.80 | 

рср 0x00000b3a 
1.0.84 | 

DCB "%1644\п", 0 


Первое 64-битное значение передается в паре регистров RO и R1, второе — в 
паре R2 и ВЗ. В ARM также есть инструкция Арс (учитывающая флаг перено- 
са) и SBC («subtract with carry» — вычесть с переносом). Важная вещь: когда 
младшие части слагаются/вычитаются, используются инструкции ADDS и SUBS 
с суффиксом -5. Суффикс -S означает «set flags» (установить флаги), а флаги 
(особенно флаг переноса) это то что однозначно нужно последующим инструк- 
циями ADC/SBC. А иначе инструкции без суффикса -S здесь вполне бы подошли 
(ADD и SUB). 


MIPS 
Листинг 1.379: Оптимизирующий GCC 4.4.5 (IDA) 
f_add: 
; $a0 - старшая часть а 
; $а1 - младшая часть а 
; $а2 - старшая часть b 
; $a3 - младшая часть b 
addu $\1, $a3, $al ; суммировать младшие части 
addu $a0, $a2, $a0 ; суммировать старшие части 


; будет ли перенос сгенерирован во время суммирования младших частей? 
; установить $\0 в 1, если да 
sltu $\0, $v1, $a3 
јг $га 
; прибавить 1 к старшей части результата, если перенос должен был быть 
сгенерирован 
addu $v0, $a0 ; branch delay slot 
; $v0 - старшая часть результата 
; $у1 - младшая часть результата 


Е $46: 

; $а0 - старшая часть а 

; $al - младшая часть а 

; $а2 - старшая часть b 

; $а3 - младшая часть b 
subu $v1, $al, $a3 ; вычитать младшие части 
subu $v0, $a0, $a2 ; вычитать старшие части 


; будет ли перенос сгенерирован во время вычитания младших частей? 
; установить $а0 в 1, если да 
51 Чи $а1, $у1 
jr $ra 
; вычесть 1 из старшей части результата, если перенос должен был быть 
сгенерирован 
subu $v0, $al ; branch delay slot 


; $у0 - старшая часть результата 
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; $УТ - младшая часть результата 


Т ааа їеѕї: 
маг 10 = –0х10 
маг 4 = —4 
lui $gp, (_gnu_local_gp >> 16) 
addiu $sp, -0x20 
la $gp, (_ дпи 1оса1 др & ОхЕЕЕР) 
SW $ra, 0x20+var_4($sp) 
sw $gp, 0x20+var_10($sp) 
lui $al, 0x73CE 
lui $a3, 0x7593 
li $a0, 0xB3A 
11 $а3, 0х75939Е79 
11 $а2, 0х1555 
jal f_add 
li $al, 0x73CE2FF2 
lw $gp, 0x20+var_10($sp) 
lui фаб, ($LCO >> 16) # "%lld\n" 
1м $19, (printf & OxFFFF)($gp) 
м $га, 0x20+var_4($sp) 
Та фаб, ($1С0 & OxFFFF) # "%lld\n" 
move $a3, $v1 
move $a2, $\%0 
jr $t9 
addiu $sp, 0x20 
$LCO: „ascii "%lld\n"<0> 


B MIPS нет регистра флагов, так что эта информация не присутствует после 
исполнения арифметических операций. 


Так что здесь нет инструкций как ADC или SBB в x86. Чтобы получить информа- 
цию о том, был бы выставлен флаг переноса, происходит сравнение (используя 
инструкцию 5170), которая выставляет целевой регистр в 1 или О. 


Эта 1 или 0 затем прибавляется к итоговому результату, или вычитается. 


1.34.3. Умножение, деление 


#include <stdint.h> 


uint64 t f mul (uint64 t а, uint64 t b) 


{ 
return a*b; 
}; 
uint64 t Т div (uint64 t a, uint64 t b) 
{ 
return a/b; 
}; 
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иіпіб4 t Т гет (иіпїб4 t a, uint64 t b) 


{ 
return a % b; 

}; 

x86 

Листинг 1.380: Оптимизирующий М5\С 2013 /Ob1 
_а$ = 8 ; size=8 
_6$ = 16 ; size = 8 
f_mul PROC 
push ebp 
mov ebp, esp 
mov eax, DWORD PTR b$[ebp+4] 
push eax 
mov ecx, DWORD PTR _b$[ebp] 
push ecx 
mov edx, DWORD PTR _a$[ebp+4] 
push edx 
mov eax, DWORD PTR _a$[ebp] 
push eax 
call _ allmul ; long long multiplication (умножение значений типа 
long long) 

pop ebp 
ret 0 

_Т mul ENDP 

аф = 8 ; size=8 

_6$ = 16 ; ѕіхе = 8 

f_div PROC 
push ebp 
mov ebp, esp 
mov eax, DWORD PTR _b$[ebp+4] 
push eax 
mov ecx, DWORD PTR _b$[ebp] 
push ecx 
mov edx, DWORD РТВ _a$[ebp+4] 
push edx 
mov eax, DWORD PTR _a$[ebp] 
push eax 
call _ aulldiv ; unsigned long long division (деление беззнаковых 
значений типа long long) 

pop ebp 
ret 0 

f div ENDP 

_а$ = 8 ; size=8 

_6$ = 16 ; size = 8 

_Т гет PROC 
push ebp 
mov ebp, esp 
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тоу eax, DWORD PTR b$[ebp+4] 
push eax 
mov ecx, DWORD PTR _b$[ebp] 
push ecx 
mov edx, DWORD PTR _a$[ebp+4] 
push edx 
mov eax, DWORD РТВ _a$[ebp] 
push eax 
call _ aullrem ; unsigned long long remainder (вычисление 
беззнакового остатка) 

рор ebp 
ret 0 

_Т гет ЕМОР 


Умножение и деление — это более сложная операция, так что обычно, компи- 
лятор встраивает вызовы библиотечных функций, делающих это. 


Значение этих библиотечных функций, здесь: .5 (стр. 1310). 


Листинг 1.381: Оптимизирующий ССС 4.8.1 -fno-inline 


_f mul: 
push ebx 
mov edx, DWORD PTR [esp+8] 
mov eax, DWORD PTR [esp+16] 
mov ebx, DWORD PTR [esp+12] 
mov ecx, DWORD PTR [esp+20] 
imul ebx, eax 
imul ecx, edx 
mul edx 
add ecx, ebx 
add edx, ecx 
pop ebx 
ret 

f div: 
sub esp, 28 
mov eax, DWORD PTR [esp+40] 
mov edx, DWORD PTR [esp+44] 
mov DWORD PTR [esp+8], eax 
mov eax, DWORD PTR [esp+32] 
mov DWORD PTR [esp+12], edx 
mov edx, DWORD PTR [esp+36] 
mov DWORD PTR [esp], eax 
mov DWORD PTR [esp+4], edx 
call _ udivdi3 ; unsigned division (беззнаковое деление) 
add esp, 28 
ret 

_Т rem: 
sub esp, 28 
mov eax, DWORD PTR [esp+40] 
mov edx, DWORD PTR [esp+44] 
mov DWORD PTR [esp+8], eax 
mov eax, DWORD PTR [esp+32] 
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mov DWORD PTR [esp+12], edx 

mov edx, DWORD PTR [esp+36] 

mov DWORD PTR [esp], eax 

mov DWORD PTR [esp+4], edx 

call __ итоааіз ; unsigned modulo (беззнаковый остаток) 
add esp, 28 

ret 


ССС делает почти то же самое, тем не менее, встраивает код умножения прямо 
в функцию, посчитав что так будет эффективнее. У ССС другие имена библио- 
течных функций: .4 (стр. 1310). 


ARM 
Keil для режима Thumb вставляет вызовы библиотечных функций: 


Листинг 1.382: Оптимизирующий Keil 6/2013 (Режим Thumb) 
П ти | PROC 
РОЅН 


{г4,1г} 
BL _ aeabi_lmul 
POP {r4, pc} 
ENDP 
|If_div|| PROC 
PUSH {r4, lr} 
BL _ aeabi uldivmod 
POP {r4, pc} 
ENDP 
|If_rem|| PROC 
PU {г4,1г} 
BL _ aeabi_uldivmod 
MOVS гб, г2 
MOVS r1,r3 
POP {r4, pc} 


Keil для режима ARM, тем не менее, может сгенерировать код для умножения 
64-битных чисел: 


Листинг 1.383: Оптимизирующий Кей 6/2013 (Режим АВМ) 


ГЕ ти || PROC 
PUSH 


{r4, 1r} 
UMULL r12,r4,r0,r2 
MLA r1,r2,rl,r4 
MLA Гг1, го, гЗ, г1 
MOV г0,г12 
РОР {r4, pc} 
ENDP 

|If_div|| PROC 
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PUSH {г4,1г} 
BL _ aeabi_uldivmod 
POP {r4, pc} 
ENDP 
|If_rem|| PROC 
PU {r4, lr} 
BL _ aeabi_uldivmod 
MOV r0,r2 
MOV r1,r3 
POP {r4, pc} 


MIPS 


Оптимизирующий ССС для MIPS может генерировать код для 64-битного умно- 
жения, но для 64-битного деления приходится вызывать библиотечную функ- 
ЦИЮ: 


Листинг 1.384: Оптимизирующий ССС 4.4.5 (IDA) 


f mul: 
mult $a2, $al 
mf lo $vO 
or $at, $zero ; NOP 
or $at, $zero ; NOP 
mult $a0, $a3 
mf lo $a0 
addu $у0, $а0 
ог фаї, лего ; МОР 
multu $a3, $al 
mfhi $a2 
mf lo $v1 
jr $ra 
addu $у0, $a2 
f div: 
var_10 = -0x10 
var 4 = -4 
lui $gp, (__опи 1оса1 ор >> 16) 
addiu $sp, -0x20 
la $gp, (gnu 1оса1 др & ӨХЕЕЕЕ) 
Sw $ra, 0x20+var_4($sp) 
sw $gp, 0x20+var_10($sp) 
1м $19, (_ иаімаіЗ & 0xFFFF)($gp) 
ог фаї, $zero 
jalr $t9 
or $at, $zero 
1м $га, 0х20+маг 4(%5р) 
ог фаї, $zero 
jr $ra 
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addiu %5р, 0x20 


f_rem: 
var_10 = -0x10 
var 4 = -4 
lui $gp, (пи 1оса1 ор >> 16) 
addiu $sp, -0x20 
la $gp, (gnu local_gp & ӨХЕЕЕЕ) 
Sw $ra, 0x20+var_4($sp) 
sw $gp, 0x20+var_10($sp) 
1м $19, (_ ито9913 & 0xFFFF) (%9р) 
ог $at, $zero 
jalr $t9 
or $at, $zero 
1м $га, 0х20+маг 4(%5р) 
ог $at, $zero 
jr $ra 


addiu $sp, 0x20 


Тут также много МОР-ов, это возможно заполнение delay 5І0ї-ов после инструк- 
ции умножения (она ведь работает медленнее прочих инструкций). 


1.34.4. Сдвиг вправо 


#include <stdint.h> 


uint64 t f (uint64 t a) 


{ 

return a>>7; 
$; 
х86 

Листинг 1.385: Оптимизирующий М5\С 2012 /Ob1 

_а$ = 8 ; size = 8 
Ж РВОС 

тоу eax, DWORD РТВ _а$[е<р-4] 

mov edx, DWORD PTR _a$[esp] 

shrd eax, edx, 7 

shr edx, 7 

ret 0 
f ENDP 

Листинг 1.386: Оптимизирующий GCC 4.8.1 -fno-inline 

f: 

mov edx, DWORD PTR [esp+8] 

mov eax, DWORD PTR [esp+4] 
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shrd eax, edx, 7 
shr edx, 7 
ret 


Сдвиг происходит также B две операции: в начале сдвигается младшая часть, 
затем старшая. Но младшая часть сдвигается при помощи инструкции SHRD, 
она сдвигает значение в EAX на 7 бит, но подтягивает новые биты из EDX, т.е. 
из старшей части. Другими словами, 64-битное значение из пары регистров 
ЕОХ:ЕАХ, как одно целое, сдвигается на 7 бит и младшие 32 бита результата 
сохраняются в ЕАХ. Старшая часть сдвигается куда более популярной инструк- 
цией ЅНА: действительно, ведь освободившиеся биты в старшей части нужно 
просто заполнить нулями. 


ARM 


B ARM нет такой инструкции как SHRD в x86, так что компилятору Keil прихо- 
дится всё это делать, используя простые сдвиги и операции «ИЛИ»: 


Листинг 1.387: Оптимизирующий Кей 6/2013 (Режим АВМ) 


| IfI | PROC 
LS го, го, #7 
ORR r0O,r0O,r1,LSL #25 
LSR г1,г1,#7 
ВХ 1г 
ЕМОР 


Листинг 1.388: Оптимизирующий Keil 6/2013 (Режим Thumb) 


| IfI | PROC 
LSLS r2,r1,#25 
LSRS го, го, #7 
ОВВ5 го, го, г2 
1585 г1,г1,#7 
ВХ 1г 
ЕМОР 

MIPS 


GCC для MIPS реализует тот же алгоритм, что сделал Keil для режима Thumb: 


Листинг 1.389: Оптимизирующий ССС 4.4.5 (IDA) 


f: 
sll $у0, $a0, 25 
srl $v1, $al, 7 
or $v1, $v0, $v1 
jr $ra 
srl $\0, $a0, 7 
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1.34.5. Конвертирование 32-битного значения в 64-битное 


#include <stdint.h> 


int64 t f (int32 фа) 


{ 
return a; 
$; 
х86 
Листинг 1.390: Оптимизирующий М5\С 2012 
_а$ = 8 
f PROC 
mov eax, DWORD PTR _a$[esp-4] 
cdq 
ret 0 
f ENDP 


Здесь появляется необходимость расширить 32-битное знаковое значение в 
64-битное знаковое. 


Конвертировать беззнаковые значения очень просто: нужно просто выставить 
В 0 все биты в старшей части. Но для знаковых типов это не подходит: знак 
числа должен быть скопирован в старшую часть числа-результата. Здесь это 
делает инструкция CDQ, она берет входное значение в EAX, расширяет его до 
64-битного, и оставляет его в паре регистров ЕБХ:ЕАХ. Иными словами, инструк- 
ция CDQ узнает знак числа в EAX (просто берет самый старший бит в EAX) и в 
зависимости от этого, выставляет все 32 бита в EDX в О или в 1. Её работа в 
каком-то смысле напоминает работу инструкции MOVSX. 


ARM 
Листинг 1.391: Оптимизирующий Keil 6/2013 (Режим ARM) 
| IfI | PROC 
ASR г1,г0,#31 
ВХ 1г 
ЕМОР 


Кей для АКМ работает иначе: он просто сдвигает (арифметически) входное 
значение на 31 бит вправо. Как мы знаем, бит знака это М5В, и арифметический 
сдвиг копирует бит знака в «появляющихся» битах. 


Так что после инструкции ASR г1, го, #31, R1 будет содержать ОхЕЕЕЕЕЕЕЕ ec- 
ли входное значение было отрицательным, или 0 в противном случае. В1 со- 
держит старшую часть возвращаемого 64-битного значения. Другими слова- 
ми, этот код просто копирует MSB (бит знака) из входного значения в В во все 
биты старшей 32-битной части итогового 64-битного значения. 
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MIPS 
GCC для MIPS делает то же, что сделал Keil для режима ARM: 


Листинг 1.392: Оптимизирующий ССС 4.4.5 (IDA) 


sra $v0, $a0, 31 
jr $ra 
move $v1, $a0 


1.35. Случай со структурой LARGE_INTEGER 


Представьте: конец 1980-х, вы Microsoft, и вы разрабатываете новую серьез- 
ную OC (Windows МТ), которая будет конкурировать с Юниксами. Целевые плат- 
формы это и 32-битные и 64-битные процессоры. И вам нужен 64-битный це- 
лочисленный тип для самых разных целей, начиная со структуры ЕІШЕТІМЕ??°. 


Проблема: пока еще не все компиляторы с Си/Си++ поддерживают 64-битные 
целочисленные (это конец 1980-х). Конечно, это изменится в (ближайшем) бу- 
дущем, но не сейчас. Что вы будете делать? 


Во время чтения, попробуйте остановиться (и/или закрыть эту книгу) и поду- 
мать, как вы можете решить эту проблему. 


170https ://docs.microsoft.com/en-us/windows/desktop/api/minwinbase/ 
ns-minwinbase-filetime 
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И вот что сделали в Microsoft, что-то вроде этого?!/1: 


union УГАВбЕ ТМТЕСЕК 


{ 
struct баскмага сотратірі1і+у 
{ 
DWORD 1омРагт; 
DWORD HighPart; 
}; 


#ifdef МЕМ FANCY COMPILER SUPPORTING 64 ВІТ 
ULONGLONG QuadPart; 

#endif 

}; 


Это кусок из 8-и байт, к которому можно обратиться через 64-битное целочис- 
ленное Оиаарагї (если скомпилированно новым компилятором), или используя 
два 32-битных целочисленных (если скомпилированно старым компилятором). 


Поле QuadPart просто отсутствует здесь, если компилируется старым компи- 
лятором. 


Порядок существенен: первое поле (LowPart) транслируется в младшие 4 байта 
64-битного значения, второе поле (HighPart) — в старшие 4 байта. 


В Microsoft также добавили ф-ции для арифметических операций, в той же 
манере, что уже было описано раннее: 1.34 (стр. 506). 


Вот что можно найти в утекших исходных файлах Windows 2000: 


Листинг 1.393: Архитектура 1386 


++ 

; LARGE INTEGER 

; RtlLargeIntegerAdd ( 

; IN LARGE INTEGER Addendl, 


; IN LARGE INTEGER Addend2 
99), 


; Routine Description: 


; This function adds a signed large integer to a signed large integer and 
; returns the signed large integer result. 


; Arguments: 


; (Т05+4) = Addend1 - first addend value 
; (Т05+12) = Аадепа2 - second addend value 


; Return Value: 


; The large integer result is stored in (edx:eax) 


171Это не копипаста, я сам это написал 
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сРир1ісРгос RtlLargeIntegerAdd ‚4 
сРиб11ісЕро 4,0 


mov eax, [esp]+4 ; (eax)=add1. low 
add eax, [esp]+12 ; (eax)=sum. low 
mov edx, [esp]+8 ; (edx)=add1.hi 
adc edx, [esp]+16 ; (edx)=sum.hi 
stdRET _RtlLargeIntegerAdd 


stdENDP RtlLargeIntegerAdd 


Листинг 1.394: Архитектура MIPS 


LEAF_ENTRY(RtlLargeIntegerAdd) 


lw 10,4 ж 4(sp) // get low рагі of аддепа2 value 
1м 11,4 ж 5(5р) // де high part of addend2 value 
addu t0,t0,a2 // add low parts of large integer 
addu t1,t1,a3 // add high parts of large integer 
sltu t2,t0,a2 // generate carry from low part 
addu t1,t1,t2 // add carry to high part 

SW +0,0(а0) // store low рагі о? result 

SW 11,4(а0) // store high рагі of result 

move v0,a0 // set function return register 

j ra // return 


„end RtlLargeIntegerAdd 


Теперь две 64-битных архитектуры: 


Листинг 1.395: Архитектура Itanium 


LEAF_ENTRY(RtlLargeIntegerAdd) 

add \0 = аб, al // add both quadword 2 
„ arguments 

LEAF ВЕТОВМ 


LEAF_EXIT(RtlLargeIntegerAdd) 


Листинг 1.396: Архитектура DEC Alpha 


ГЕАЕ_ЕМТВУ (RtlLargeIntegerAdd) 


аааа аб, al, vO // add both quadword arguments 
ret zero, (ra) // return 


„end RtlLargeIntegerAdd 


B Itanium n DEC Alpha не нужно использовать 32-битные инструкции, потому 
что уже есть 64-битные. 


И вот что можно найти в Windows Research Kernel: 
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DECLSPEC DEPRECATED DDK // Use native _ int64 math 
inline 
LARGE INTEGER 
NTAPI 
RtlLargeIntegerAdd ( 
LARGE ТМТЕбЕВ Аддепа1, 
LARGE _ INTEGER Addend2 
) 


{ 
LARGE _INTEGER Sum; 
Sum.QuadPart = Addend1.QuadPart + Addend2.QuadPart; 
return Sum; 

} 


Все эти ф-ции могут быть убраны (в будущем), но сейчас они работают с по- 
лем QuadPart. Если этот фрагмент кода будет скомпилирован современным 
32-битным компилятором (поддерживающем 64-битные целочисленные), он 
сгенерирует два 32-битных сложения. С этого момента, поля LowPart/HighPart 
можно убрать из структуры ГАВСЕ 1МТЕСЕК. 


Нужно ли использовать такую технику сегодня? Вероятно нет, но если кому- 
то вдруг понадобится 128-битный тип целочисленных, вы можете его сделать 
точно так же. 


Так же, нужно сказать, это работает благодаря порядку байт little-endian (2.2 
(стр. 583)) (все архитектуры под которые разрабатывалась Windows NT, little- 
endian). Этот трюк не сработает на Б/9-епа!ап-архитектуре. 


1.36. SIMD 


$ МО это акроним: Single Instruction, Multiple Data. 


Как можно судить по названию, это обработка множества данных исполняя 
только одну инструкцию. 


Как и FPU, эта подсистема процессора выглядит так же отдельным процессо- 
ром внутри х86. 


SIMD в x86 начался с MMX. Появилось 8 64-битных регистров ММО-ММ7. 


Каждый ММХ-регистр может содержать 2 32-битных значения, 4 16-битных 
или же 8 байт. Например, складывая значения двух ММХ-регистров, можно 
складывать одновременно 8 8-битных значений. 


Простой пример, это некий графический редактор, который хранит открытое 
изображение как двумерный массив. Когда пользователь меняет яркость изоб- 
ражения, редактору нужно, например, прибавить некий коэффициент ко всем 
пикселям, или отнять. Для простоты можно представить, что изображение у 
нас бело-серо-черное и каждый пиксель занимает один байт, то с помощью 
ММХ можно менять яркость сразу у восьми пикселей. 
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Кстати, вот причина почему в SIMD присутствуют инструкции с насыщением 
(saturation). 


Когда пользователь в графическом редакторе изменяет яркость, переполне- 
ние и антипереполнение (underflow) не нужны, так что в SIMD имеются, напри- 
мер, инструкции сложения, которые ничего не будут прибавлять если макси- 
мальное значение уже достигнуто, и т. д. 


Когда ММХ только появилось, эти регистры на самом деле располагались в 
ЕРУ-регистрах. Можно было использовать либо ЕРО либо ММХ в одно и то же 
время. Можно подумать, что Intel решило немного сэкономить на транзисто- 
рах, но на самом деле причина такого симбиоза проще — более старая ОС не 
знающая о дополнительных регистрах процессора не будет сохранять их во 
время переключения задач, а вот регистры FPU сохранять будет. Таким oôpa- 
зом, процессор с ММХ + старая ОС + задача, использующая возможности ММХ 
= все это может работать вместе. 


SSE — это расширение регистров до 128 бит, теперь уже отдельно от FPU. 
AVX — расширение регистров до 256 бит. 
Немного о практическом применении. 


Конечно же, это копирование блоков в памяти (тетсру), сравнение (тетстр), и 
подобное. 


Еще пример: имеется алгоритм шифрования DES, который берет 64-битный 
блок, 56-битный ключ, шифрует блок с ключом и образуется 64-битный резуль- 
тат. Алгоритм DES можно легко представить в виде очень большой электрон- 
ной цифровой схемы, с проводами, элементами И, ИЛИ, НЕ. 


Идея bitslice DESY? — это обработка сразу группы блоков и ключей одновре- 
менно. Скажем, на x86 переменная типа unsigned int вмещает в себе 32 бита, 
так что там можно хранить промежуточные результаты сразу для 32-х блоков- 
ключей, используя 64+56 переменных типа unsigned int. 


Существует утилита для перебора паролей/хешей Oracle RDBMS (которые oc- 
нованы на алгоритме DES), реализующая алгоритм bitslice DES для 55Е2 и AVX 
— и теперь возможно шифровать одновременно 128 или 256 блоков-ключей: 


http://conus.info/utils/ops_SIMD/ 


1.36.1. Векторизация 


Векторизация'73 это когда у вас есть цикл, который берет на вход несколько 
массивов и выдает, например, один массив данных. Тело цикла берет некото- 
рые элементы из входных массивов, что-то делает с ними и помещает в выход- 
ной. Векторизация — это обрабатывать несколько элементов одновременно. 


Векторизация — это не самая новая технология: автор сих строк видел её по 
крайней мере на линейке суперкомпьютеров Сгау Ү-МР от 1988, когда работал 


172 {фр : //ммм . дагкѕійе. сот.аи/61{$11се/ 
173Wikipedia: vectorization 
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на его версии-«лайт» Cray Ү-МР EL 14., 


Например: 
for (i = 0; і < 1024; i++) 
{ 
C[i] = А[1]*В[1]; 
} 


Этот фрагмент кода берет элементы из А и В, перемножает и сохраняет ре- 
зультат в С. 


Если представить, что каждый элемент массива — это 32-битный int, то их 
можно загружать сразу по 4 изАв 128-битный ХММ-регистр, из В в другой ХММ- 
регистр и выполнив инструкцию PMULLD (Перемножить запакованные знако- 
вые DWORD и сохранить младшую часть результата) и PMULHW (Перемножить 
запакованные знаковые DWORD и сохранить старшую часть результата), MOX- 
но получить 4 64-битных произведения сразу. 


Таким образом, тело цикла исполняется 1024/4 раза вместо 1024, что в 4 раза 
меньше, и, конечно, быстрее. 


Пример сложения 


Некоторые компиляторы умеют делать автоматическую векторизацию в про- 
стых случаях, например, Intel С++17°. 


Вот очень простая функция: 


int f (int sz, int жаг1, int жаг2, int жагЗ) 


{ 
for (int i=0; i<sz; i++) 
аг3 [1]=аг1[1]+аг2 [1]; 
return 0; 
}; 
Intel С++ 


Компилируем её при помощи Intel С++ 11.1.051 win32: 
icl intel.cpp /0ах55Е2 /Faintel.asm /0х 
Имеем такое (B IDA): 


; int cdecl f(int, int *, int *, int *) 
public ?т@а@уАННРАНО0@7 
?т@а@уАННРАНО0@7 proc near 


174Y даленно. Он находится в музее суперкомпьютеров: http://www. cray- субег. ога 
175Еще о том, как Intel С++ умеет автоматически векторизовать циклы: Excerpt: Effective Automatic 
Vectorization 
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маг 10 
52 
аг1 
аг2 
агз 


loc 36: 


Тос 55: 


Тос 67: 


Тос 7Е: 


= дмога 
амога 
амога 
амога 
амога 


push 
push 
push 
push 
mov 
test 
jle 
mov 
cmp 
jle 


; CODE 


; CODE 


; CODE 


ptr -10h 
ptr 4 
ptr 8 
ptr OCh 
ptr 10h 
edi 

esi 

ebx 

esi 

edx, [esp+10h+sz] 
edx, edx 
loc_15B 


eax, [esp+10h+ar3] 
edx, 6 

loc_143 

eax, [esp+10h+ar2] 
short loc_36 

esi, [esp+10h+ar2] 
esi, eax 

ecx, ds:0[edx*4] 
esi 

ecx, esi 

short loc_55 


XREF: f(int,int *,int *,int 


eax, [esp+10h+ar2] 
loc_143 

esi, [esp+10h+ar2] 
esi, eax 

ecx, ds:0[edx*4] 
esi, ecx 

loc_143 


XREF: f(int,int *,int *,int 


eax, [esp+10h+ar1] 
short loc_67 

esi, [esp+10h+ar1] 
esi, eax 

esi 

ecx, esi 

short loc_7F 


XREF: f(int,int *,int *,int 


eax, [esp+10h+ar1] 
loc_143 
esi, [еѕр+10һ+аг1] 
esi, eax 
esi, ecx 
loc_143 


XREF: f(int,int *,int * 


edi, eax ; 


*) +21 


*) +34 


*) +59 


*) +65 
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апа edi, ОРһ ; ar3 выровнен по 16-байтной границе? 
jz short loc_9A ; да 
test edi, 3 
jnz loc_162 
neg edi 
add edi, 10h 
shr edi, 2 
loc_9A: ; CODE XREF: f(int,int *,int *,int *)+84 
lea ecx, [edi+4] 
cmp edx, ecx 
jl loc_162 
mov ecx, edx 
sub ecx, edi 
and ecx, 3 
neg ecx 
add ecx, edx 
test edi, edi 
jbe short loc_D6 
mov ebx, [esp+10h+ar2] 
mov [esp+10h+var_10], ecx 
mov ecx, [esp+10h+ar1] 
xor esi, esi 
loc C1: ; CODE XREF: f(int,int *,int *,int *)+CD 
mov edx, [ecx+esi*4] 
add edx, [ebx+esi*4] 
mov [еах+еѕіж4], edx 
inc esi 
cmp esi, edi 
jb short loc C1 
mov ecx, [esp+10h+var_10] 
mov edx, [esp+10h+sz] 
loc D6: ; CODE XREF: f(int,int *,int *,int *)+B2 
mov esi, [esp+10h+ar2] 
lea esi, [еѕі+едіж4] ; аг2+1*4 выровнен no 16-байтной границе? 
test esi, OFh 
jz short loc_109 ; да! 
тоу ерх, [еѕр+10һ+аг1] 
mov esi, [esp+10h+ar2] 


loc_ED: ; 


CODE XREF: f(int,int *,int *,int *)+105 


помади хтт1, xmmword ptr [ерх+едіж4] ; аг1+1*4 

помади хттб, xmmword ptr [еѕі+едіж4] ; аг2+1*4 не выровнен по 
16-байтной границе, так что загружаем это B ХММӨ 

раааа хтт1, хтто 

помада хтпмога ріг [еах+едіж4], хтт1 ; аг3+1*4 


1ос 109: 


, 


edi, 4 

edi, ecx 
short loc_ED 
short loc_127 


CODE XREF: f(int, int *,int *, int *)+ЕЗ 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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mov ebx, [esp+10h+ar1] 
mov esi, [esp+10h+ar2] 


loc 111: ; CODE XREF: f(int,int *,int *,int *)+125 
movdqu хттб, xmmword ptr [ebx+edi*4] 
paddd хтто, xmmword ptr [esi+edi*4] 
помада xmmword ptr [еах+едіж4], хттб 


add edi, 4 
cmp edi, ecx 
jb short loc_111 


loc_127: ; CODE XREF: f(int,int *,int *,int *)+107 
; f(int,int *,int *,int *)+164 


cmp ecx, edx 

jnb short loc_15B 

mov esi, [esp+10h+ar1] 
mov edi, [esp+10h+ar2] 


loc_133: ; CODE XREF: f(int,int *,int *,int *)+13F 


mov ebx, [esi+ecx*4] 
add ebx, [edi+ecx*4] 
mov [еах+есх*4], ebx 
inc ecx 

cmp ecx, edx 

jb short loc_133 
jmp short loc_15B 


loc_143: ; CODE XREF: f(int,int *,int *,int *)+17 
; f(int,int *,int *,int *)+3A ... 


mov esi, [esp+10h+ar1] 
mov edi, [esp+10h+ar2] 
xor ecx, ecx 


loc_14D: ; CODE XREF: f(int,int *,int *,int *)+159 


mov ebx, [esi+ecx*4] 
add ebx, [edi+ecx*4] 
mov [eax+ecx*4], ebx 
inc ecx 

cmp ecx, edx 

jb short 1ос 140 


loc 15В: ; CODE XREF: f(int,int *,int *,int *)+A 
; f(int,int *,int *,int *)+129 ... 


xor eax, eax 
pop ecx 

pop ebx 

pop esi 

pop edi 

retn 


loc_162: ; CODE XREF: f(int,int *,int *,int *)+8C 
; f(int,int *,int *,int *)+9F 
xor ecx, ecx 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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jmp short loc_127 
?т@@уАННРАНО0@7 endp 


Инструкции, имеющие отношение к SSE2 это: 


• MOVDQU (Move Unaligned Double Quadword) — она просто загружает 16 байт 
из памяти в ХММ-регистр. 


• РАРрр (Ааа Packed Integers) — складывает сразу 4 пары 32-битных чисел 
и оставляет в первом операнде результат. Кстати, если произойдет пере- 
полнение, то исключения не произойдет и никакие флаги не установятся, 
запишутся просто младшие 32 бита результата. Если один из операндов 
РАРрр — адрес значения в памяти, то требуется чтобы адрес был выровнен 
по 16-байтной границе. Если он не выровнен, произойдет исключение. 


• MOVDQA (Move Aligned Double Quadword) — тоже что и MOVDQU, только nonpa- 
зумевает что адрес в памяти выровнен по 16-байтной границе. Если он не 
выровнен, произойдет исключение. MOVDQA работает быстрее чем MOVDQU, 
но требует вышеозначенного. 


Итак, эти 55Е2-инструкции исполнятся только в том случае если еще осталось 
просуммировать 4 пары переменных типа int плюс если указатель агз выров- 
нен по 16-байтной границе. 


Более того, если еще и аг2 выровнен по 16-байтной границе, то будет выпол- 
няться этот фрагмент кода: 


помади хттб, хттмога ptr [ерх+еаіж4] ; аг1+1*4 
райда хтто, хттмога ptr [еѕі+еаіж4] ; аг2+1*4 
movdqa хттмога ptr [еах+едіж4], хтт0 ; агз+і*4 


А иначе, значение из аг2 загрузится в ХММО используя инструкцию MOVDQU, KOTO- 
рая не требует выровненного указателя, зато может работать чуть медленнее: 


помааи хтт1, хттмога ptr [ерх+едіж4] ; аг1+1*4 

помади хттб, хттмога ptr [е51+е91*4] ; аг2+1*4 не выровнен по 16-байтной 
границе, так что загружаем это в ХММО 

раааа хтт1, хтто 

помада хттмога ptr [еах+едіж4], хтт1 ; агз+і*4 


А во всех остальных случаях, будет исполняться код, который был бы, как если 
бы не была включена поддержка 55Е2. 


ССС 
Но и ССС умеет кое-что векторизировать!'°, если компилировать с опциями 


-03 и включить поддержку 55Е2: -тѕ5е2. 
Вот что вышло (ССС 4.4.1): 


176Подробнее о векторизации в ССС: http://gcc.gnu.org/projects/tree-ssa/vectorization. 
html 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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; f(int, 


іпі ж, int ж, int ж) 
public 241+#1Р15 5 


_21#1Р15 5 proc near 


маг 18 
маг 14 
маг 10 
аго 0 
агд 4 
аго 8 
аго С 


dword ptr -18h 
dword ptr -14h 
dword ptr -10h 
dword ptr 8 

dword ptr 0Сһ 
dword ptr 10h 
dword ptr 14h 


push ebp 

mov ebp, esp 

push edi 

push esi 

push ebx 

sub esp, OCh 

mov ecx, [ebp+arg_0] 
mov esi, [ebp+arg_4] 
mov edi, [ebp+arg_8] 
mov ebx, [ebp+arg_C] 
test ecx, ecx 

jle short loc 8048408 
cmp ecx, 6 

lea eax, [ebx+10h] 

ja short loc 80484Е8 


loc_80484C1: ; CODE XREF: f(int,int *,int *,int *)+4B 


; f(int,int *,int *,int *)+61 ... 


xor eax, eax 
nop 
lea esi, [esi+0] 


loc_80484C8: ; CODE XREF: f(int,int *,int *,int *)+36 


mov edx, [edi+eax*4] 

add edx, [esi+eax*4] 

mov [ебрх+еахж4], edx 

add eax, 1 

cmp eax, ecx 

jnz short loc 80484С8 


loc_80484D8: ; CODE XREF: f(int,int *,int *,int *)+17 


; f(int,int *,int *,int *)+А5 


add esp, OCh 
xor eax, eax 
pop ebx 

pop esi 

pop edi 

pop ebp 

retn 

align 8 
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loc 80484Е8: ; CODE XREF: f(int,int *,int *,int *)+1Е 
test bl, OFh 


jnz short loc 80484С1 
lea edx, [esi+10h] 
cmp ebx, edx 
jbe loc_8048578 
loc 80484Е8: ; CODE XREF: f(int,int *,int *,int *)+E0 
lea edx, [edi+10h] 
cmp ebx, edx 
ja short loc 8048503 
cmp edi, eax 
jbe short loc 80484С1 
loc 8048503: ; CODE XREF: f(int,int *,int *,int *)+5D 
mov eax, ecx 
shr eax, 2 
mov [ebp+var_14], eax 
shl eax, 2 
test eax, eax 
mov [ebp+var_10], eax 
jz short 1ос 8048547 
mov [ebp+var_18], ecx 
mov ecx, [ебр+уаг_14] 
xor eax, eax 
xor edx, edx 
nop 


loc 8048520: ; CODE XREF: f(int,int *,int *,int *)+9B 
movdqu хтт1, xmmword ptr [еді+еах] 
movdqu хтто, xmmword ptr [esi+eax] 
add edx, 1 
paddd хтт0, хтт1 
movdqa хттмога ptr [ебх+еах], хтто 


ааа eax, 10h 

cmp edx, ecx 

jb short 1ос 8048520 

mov ecx, [ерр+маг 18] 

mov eax, [ebp+var_10] 

cmp ecx, eax 

jz short 1ос 8048408 
loc 8048547: ; CODE XREF: f(int,int *,int *,іпї *)+73 

lea edx, ds:0[eax*4] 

add esi, edx 

add edi, edx 

add ebx, edx 

lea esi, [esi+0] 


loc 8048558: ; CODE XREF: f(int,int *,int *,int *)+CC 
mov edx, [edi] 
add eax, 1 
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ааа еді, 4 

ааа edx, [esi] 
add esi, 4 

mov [ebx], edx 
add ebx, 4 

cmp ecx, eax 
jg short loc 8048558 
add esp, OCh 
xor eax, eax 
pop ebx 

pop esi 

pop edi 

pop ebp 

retn 


loc_8048578: ; CODE XREF: f(int,int *,int *,int *)+52 


cmp eax, esi 
jnb loc_80484C1 
jmp loc_80484F8 


_2111Р15_5_ endp 


Почти то же самое, хотя и не так дотошно, как Intel C++. 


Пример копирования блоков 


Вернемся к простому примеру тетсру() (1.22.2 (стр. 254)): 


#include <stdio.h> 


void ту memcpy (unsigned char» dst, unsigned char» src, size t cnt) 
{ 
size t i; 
for (i=0; i<cnt; i++) 
dst[i]=src[il]; 
}; 


И вот что делает оптимизирующий ССС 4.9.1: 


Листинг 1.397: Оптимизирующий ССС 4.9.1 x64 


пу тетсру: 

; КОТ = адрес назначения 

; RSI = исходный адрес 

; КОХ = размер блока 
test rdx, rdx 
je .L41 
lea rax, [rdi+16] 
cmp rsi, rax 
lea rax, [rsi+16] 
setae cl 
cmp rdi, rax 
setae al 
or cl, al 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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је 
стр 
јре 
mov 
push 
push 
neg 
and 
cmp 
cmova 
xor 
test 
je 
movzx 
cmp 
mov 
je 
movzx 
cmp 
mov 
je 
movzx 
cmp 
mov 
je 
movzx 
cmp 
mov 
je 
movzx 
cmp 
mov 
je 
movzx 
cmp 
mov 
je 
movzx 
cmp 
mov 
je 
movzx 
cmp 
mov 
je 
movzx 
cmp 
mov 
je 
movzx 
cmp 
mov 
je 


‚113 
гах, 
‚113 
rcx, 
rbp 

rbx 

rcx 

ecx, 
rcx, 
rcx, 
eax, 
rcx, 
14 

еах, 
rcx, 
BYTE 
.L15 
eax, 
rcx, 
BYTE 
.L16 
eax, 
rcx, 
BYTE 
.L17 
eax, 
rcx, 
BYTE 
.L18 
eax, 
rcx, 
BYTE 
.L19 
eax, 
rcx, 
BYTE 
.L20 
eax, 
rcx, 
BYTE 
.L21 
eax, 
rcx, 
BYTE 
. L22 
eax, 
rcx, 
BYTE 
. L23 
eax, 
rcx, 
BYTE 
. L24 


22 


rsi 


15 

rdx 
rdx 
eax 
rcx 


BYTE PTR [rsi] 
1 
PTR [rdi], al 


BYTE PTR [rsi+1] 
2 
PTR [rdi+1], al 


BYTE PTR [rsi+2] 
3 
PTR [rdi+2], al 


BYTE PTR [rsi+3] 
4 
PTR [rdi+3], al 


BYTE PTR [rsi+4] 
5 
PTR [rdi+4], al 


BYTE PTR [rsi+5] 
6 
PTR [rdi+5], al 


BYTE PTR [rsi+6] 
7 
PTR [rdi+6], al 


BYTE PTR [rsi+7] 
8 
PTR [rdi+7], al 


BYTE PTR [rsi+8] 
9 
PTR [rdi+8], al 


BYTE PTR [rsi+9] 
10 
PTR [rdi+9], al 
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‚14: 


.Е7: 


‚16: 


movzx 
cmp 
mov 
je 
movzx 
cmp 
mov 
je 
movzx 
cmp 
mov 
je 
movzx 
cmp 
mov 
jne 
movzx 
mov 
mov 


mov 
lea 
sub 
lea 
sub 
shr 
add 
mov 
sal 
cmp 
jbe 
lea 
xor 
add 
xor 


movdqa 
add 
movups 
add 


eax, BYTE PTR [rsi+10] 
rcx, 11 

BYTE PTR [rdi+10], al 

. L25 

eax, BYTE PTR [rsi+11] 
rcx, 12 

BYTE PTR [rdi+11], al 

. L26 

eax, BYTE PTR [rsi+12] 
rcx, 13 

BYTE PTR [rdi+12], al 
.L27 

eax, BYTE PTR [rsi+13] 
rcx, 15 

BYTE PTR [rdi+13], al 

. L28 

eax, BYTE PTR [rsi+14] 
BYTE PTR [rdi+14], al 
eax, 15 

r10, rdx 

r9, [rdx-1] 

г10, rcx 

r8, [r10-16] 

r9, rcx 

r8, 4 

r8, 1 

r11, r8 

r11, 4 

r9, 14 

. L6 

rbp, [rsi+rcx] 

r9d, r9d 

rcx, rdi 

ebx, ebx 

xmm, XMMWORD PTR [rbp+0+r9] 
rbx, 1 

XMMWORD PTR [rcx+r9], хтто 
r9, 16 

rbx, r8 

‚17 

гах, г11 

г10, г11 

11 

ecx, BYTE РТВ [г$1+гах] 
BYTE РТВ [гаі+гах], cl 
гсх, [гах+1] 

гах, rcx 

11 

ecx, BYTE РТВ [г$1+1+гах] 
ВУТЕ РТА [га1+1+гах], сї 
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lea 
cmp 
jbe 
тоу2х 
mov 
lea 
cmp 
jbe 
тоу2х 
mov 
lea 
cmp 
jbe 
тоу2х 
mov 
lea 
cmp 
jbe 
тоу2х 
mov 
lea 
cmp 
jbe 
movzx 
mov 
lea 
cmp 
jbe 
movzx 
mov 
lea 
cmp 
jbe 
тоу2х 
mov 
lea 
cmp 
jbe 
тоу2х 
mov 
lea 
cmp 
jbe 
movzx 
mov 
lea 
cmp 
jbe 
movzx 
mov 
lea 
cmp 
jbe 


rcx, 
rdx, 
.L1 

ecx, 
BYTE 
гсх, 
гах, 
11 

есх, 
ВҮТЕ 
rcx, 
rdx, 
.L1 

ecx, 
BYTE 
rcx, 
rdx, 
.L1 

ecx, 
BYTE 
rcx, 
rdx, 
.L1 

ecx, 
BYTE 
rcx, 
rdx, 
.L1 

ecx, 
BYTE 
rcx, 
rdx, 
.L1 

ecx, 
BYTE 
rcx, 
rdx, 
.L1 

ecx, 
BYTE 
rcx, 
rdx, 
.L1 

ecx, 
BYTE 
rcx, 
rdx, 
.L1 

ecx, 
BYTE 
rcx, 
rdx, 
.L1 


[rax+2] 
rcx 


BYTE PTR [rsi+2+rax] 
PTR [rdi+2+rax], cl 
[rax+3] 

rcx 


BYTE PTR [rsi+3+rax] 
PTR [rdi+3+rax], cl 
[rax+4] 

rcx 


BYTE PTR [rsi+4+rax] 
PTR [rdi+4+rax], cl 
[rax+5] 

rcx 


BYTE PTR [rsi+5+rax] 
PTR [rdi+5+rax], cl 
[rax+6] 

rcx 


BYTE PTR [rsi+6+rax] 
PTR [rdi+6+rax], cl 
[rax+7] 

rcx 


BYTE PTR [rsi+7+rax] 
PTR [rdi+7+rax], cl 
[rax+8] 

rcx 


BYTE PTR [rsi+8+rax] 
PTR [rdi+8+rax], cl 
[rax+9] 

rcx 


BYTE PTR [rsi+9+rax] 
PTR [rdi+9+rax], cl 
[rax+10] 

rcx 


BYTE PTR [rsi+10+rax] 
PTR [rdi+10+rax], cl 
[rax+11] 

rcx 


BYTE PTR [rsi+11+rax] 
PTR [rdi+11+rax], cl 
[rax+12] 

rcx 
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211: 


movzx 
mov 
lea 
cmp 
jbe 
movzx 
mov 
lea 
cmp 
jbe 
тоу2х 
mov 


pop 
pop 


141: 


гер ret 


‚113: 


„ЇЗ 


хог 


movzx 
mov 
add 
cmp 
jne 
rep ret 


.L28: 


mov 
jmp 


.L15: 


mov 
jmp 


.L16: 


mov 
jmp 


117: 


mov 
jmp 


.L18: 


mov 
jmp 


.L19: 


mov 
jmp 


.L20: 


mov 
jmp 


.L21: 


mov 
jmp 


.L22: 


mov 
jmp 


ecx, 
BYTE 
rcx, 
rdx, 
.L1 

ecx, 
BYTE 
rcx, 
rdx, 
.L1 

edx, 
BYTE 


rbx 
rbp 


eax, 


ecx, 
BYTE 
rax, 
rax, 
213 


еах, 
14 


еах, 
14 


еах, 
14 


еах, 
14 


еах, 
14 


еах, 
14 


еах, 
14 


еах, 
14 


еах, 
14 


BYTE РТА [г$1+12+гах] 
РТВ [г91+12+гах], cl 
[гах+13] 

rcx 


BYTE PTR [rsi+13+rax] 
PTR [rdi+13+rax], cl 
[rax+14] 

rcx 


BYTE PTR [rsi+14+rax] 
PTR [rdi+14+rax], dl 


eax 


BYTE PTR [rsi+rax] 
PTR [rdi+rax], cl 
1 

rdx 


14 
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. L23: 


‚124: 


‚125: 


‚126: 


‚127: 


mov eax, 9 
jmp 14 
mov eax, 10 
jmp 14 
mov eax, 11 
jmp 14 
тоу еах, 12 
јтр 14 
mov eax, 13 
jmp 14 


1.36.2. Реализация strlen() при помощи SIMD 


Прежде всего, следует заметить, что $1МО-инструкции можно вставлять в Си/- 
Си++код при помощи специальных макросов!””. В М$\С, часть находится в 
файле intrin.h. 


Имеется возможность реализовать функцию ѕїг1еп ()178 при помощи 51Мр-инструкций, 
работающий в 2-2.5 раза быстрее обычной реализации. Эта функция будет за- 
гружать в ХММ-регистр сразу 16 байт и проверять каждый на ноль 


179 


size t ѕїг1еп 55е2 (сопѕї char *str) 


{ 


register size t len = 0; 

const char *s=str; 

bool str is_aligned=(((unsigned int)str)&0xFFFFFFF0) == (unsigned іпї) х 
S str; 


if (str_is_aligned==false) 
return strlen (str); 


_ 1281 хтт0 = _mm_setzero_sil28(); 
_ 1281 хтт1; 
int mask = 0; 


for (;;) 
{ 
хтт1 = тт 1оай_<$1128((__т1281 ж)5); 
хтт1 = тт стред ер18(хтт1, хттд); 
if ((тазК = mm тоуета$К_ер18 (хтт1)) != 0) 
{ 


unsigned long роз; 


177MSDN: MMX, SSE, апа SSE2 Intrinsics 
178strlen() — стандартная функция Си для подсчета длины строки 
179Пример базируется на исходнике отсюда: һїїр: //ммм.5%гсг.сот/55е2_орї1т1ї$ей_5їгї1еп. 
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_ВіїЅсапҒогмага (&роѕ, mask); 
len += (size t)pos; 


break; 


} 

5 += sizeof(__ 11281); 

len += sizeof(__m128i); 
}; 


return len; 


Компилируем B MSVC 2010 с опцией /0х: 
Листинг 1.398: Оптимизирующий MSVC 2010 


_роѕ$75552 = –4 ; 5126 = 4 
2517$ = 8 ; size = 4 
?51г1еп 55е200ҮАІРВр@х PROC ; strlen sse2 
push ebp 
mov ebp, esp 
and esp, -16 ; fffffffOH 
mov eax, DWORD PTR _str$[ebp] 
sub esp, 12 ; 0000000cH 
push esi 
mov esi, eax 
and esi, -16 ; fffffffOH 
xor edx, edx 
mov ecx, eax 
cmp esi, eax 
je SHORT $LN4@strlen_ sse 
lea edx, DWORD PTR [eax+1] 
npad 3 ; выровнять следующую метку 
$LL11@strlen_sse: 
mov cl, BYTE PTR [eax] 
inc eax 
test cl, cl 
jne SHORT $LL11@strlen_sse 
sub eax, edx 
pop esi 
mov esp, ebp 
pop ebp 
ret 0 


$LN4@strlen_sse: 
movdqa хтт1, XMMWORD PTR [eax] 
pxor xmmO, хтто 
pcmpeqb xmml, хтто 
pmovmskb eax, xmm1 
test eax, eax 
jne SHORT $LN9@strlen_sse 
$LL3@strlen_sse: 
movdqa хтт1, XMMWORD PTR [ecx+16] 
add ecx, 16 ; 00000010H 
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рстреар хтт1, хтто 
ааа edx, 16 ; 00000010Н 
ртоут$КЬ eax, хтт1 
test eax, eax 
je SHORT $LL3@strlen_ sse 
$LN9@strlen_sse: 
bsf eax, eax 
mov ecx, eax 
mov DWORD PTR _pos$75552[esp+16], eax 
lea eax, DWORD PTR [ecx+edx] 
pop esi 
mov esp, ebp 
pop ebp 
ret 0 
?51г1еп 55е200ҮАІРВрах ЕМОР ; strlen $5е2 


Как это работает? Прежде всего, нужно определиться с целью этой ф-ции. Она 
вычисляет длину Си-строки, но можно сказать иначе — её задача это поиск 
нулевого байта, а затем вычисление его позиции относительно начала строки. 


Итак, прежде всего, мы проверяем указатель Str, выровнен ли он по 16-байтной 
границе. Если нет, то мы вызовем обычную реализацию strlen(). 


Далее мы загружаем по 16 байт в регистр ХММ1 при помощи команды MOVDQA. 


Наблюдательный читатель может спросить, почему в этом месте мы не мо- 
жем использовать MOVDQU, которая может загружать откуда угодно невзирая 
на факт, выровнен ли указатель? 


Да, можно было бы сделать вот как: если указатель выровнен, загружаем ис- 
пользуя MOVDQA, иначе используем работающую чуть медленнее MOVDQU. 


Однако здесь кроется не сразу заметная проблема, которая проявляется вот 
в чем: 


В ОС линии Windows МТ (и не только), память выделяется страницами по 4 КВ 
(4096 байт). Каждый мт32-процесс якобы имеет в наличии 4 GiB, но на самом 
деле, только некоторые части этого адресного пространства присоединены к 
реальной физической памяти. Если процесс обратится к блоку памяти, которо- 
го не существует, сработает исключение. Так работает \М185. 


Так вот, функция, читающая сразу по 16 байт, имеет возможность нечаянно 
вылезти за границу выделенного блока памяти. Предположим, ОС выделила 
программе 8192 (0х2000) байт по адресу 0х008с0000. Таким образом, блок за- 
нимает байты с адреса 0х008с0000 по 0х008сІ# включительно. 


За этим блоком, то есть начиная с адреса 0х008с2000 нет вообще ничего, т.е. 
ОС не выделяла там память. Обращение к памяти начиная с этого адреса вы- 
зовет исключение. 


И предположим, что программа хранит некую строку из, скажем, пяти симво- 
лов почти в самом конце блока, что не является преступлением: 


180wikipedia 
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0x008c1ff8 | 'ћ 
ox008c1ff9 | 'е' 
0х008с1Ма | '' 
0x008c1ffb | "l 
0х008с1їїс | ’о’ 

0х008с1На | '\х00' 

0х008с1Не | здесь случайный мусор 
0x008c1fff | здесь случайный мусор 


В обычных условиях, программа вызывает ѕїг1іеп() передав ей указатель на 
строку 'hello' лежащую по адресу 0х008с1#8. strlen() будет читать по од- 
ному байту до 0х008с1На, где ноль, и здесь она закончит работу. 


Теперь, если мы напишем свою реализацию ѕїг1еп() читающую сразу по 16 
байт, с любого адреса, будь он выровнен по 16-байтной границе или нет, MOVDQU 
попытается загрузить 16 байт с адреса 0х008с1Н8 по 0х008с2008, и произой- 
дет исключение. Это ситуация которой, конечно, хочется избежать. 


Поэтому мы будем работать только с адресами, выровненными по 16 байт, что 
в сочетании со знанием что размер страницы ОС также, как правило, выровнен 
по 16 байт, даст некоторую гарантию что наша функция не будет пытаться 
читать из мест в невыделенной памяти. 


Вернемся к нашей функции. 


_мт_5е{7его 51128() — это макрос, генерирующий рхог хттб, хттд — nh- 
струкция просто обнуляет регистр ХММӨ. 


_тт ТоаЧ 51128() — это макрос для MOVDQA, он просто загружает 16 байт по 
адресу из указателя в ХММ1. 


тт стреа ері8() — это макрос для РСМРЕОВ, это инструкция, которая побай- 
тово сравнивает значения из двух ХММ регистров. 


И если какой-то из байт равен другому, то в результирующем значении будет 
выставлено на месте этого байта 0х??, либо 0, если байты не были равны. 


Например: 


ХММ1: 0х11223344556677880000000000000000 
XMMO: 0х11а03444007877881111111111111111 


После исполнения рстредь хтт1, xmmO, регистр ХММ1 содержит: 
ХММ1: 0х+1700001100001+1+1100000000000000009 


Эта инструкция в нашем случае, сравнивает каждый 16-байтный блок с блоком 
состоящим из 16-и нулевых байт, выставленным в ХММ0 при помощи рхог хттб@, 
хтмо. 


Следующий макрос тт тоуетаѕк ері8() — это инструкция РМОУМ$КВ. 
Она очень удобна как раз для использования в паре с РСМРЕОВ. 


pmovmskb eax, хтт1 
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Эта инструкция выставит самый первый бит ЕАХ в единицу, если старший бит 
первого байта в регистре ХММ1 является единицей. Иными словами, если пер- 
вый байт в регистре ХММ1 является Oxff, то первый бит в EAX будет также egn- 
ницей, иначе нулем. 


Если второй байт в регистре ХММ1 является Oxff, то второй бит в EAX также 
будет единицей. Иными словами, инструкция отвечает на вопрос, «какие из 
байт в ХММ1 имеют старший бит равный 1, или больше 0х7#?» В результате 
приготовит 16 бит и запишет в ЕАХ. Остальные биты в ЕАХ обнулятся. 


Кстати, не забывайте также вот о какой особенности нашего алгоритма. 


На вход может прийти 16 байт вроде: 
15 14 13 12 11 10 9 3 2 1 0 


R Ee e o 0 мусор 0 | мусор 


Это строка 'һе110', после нее терминирующий ноль, затем немного мусора в 
памяти. 


Если мы загрузим эти 16 байт в ХММ1 и сравним с нулевым ХММӨ, то в итоге 
получим такое 181; 


ХММ1: 0x0000ff00000000000000ff0000000000 


Это означает, что инструкция сравнения обнаружила два нулевых байта, что 
и не удивительно. 


PMOVMSKB в нашем случае подготовит EAX вот так: 
060010000000100000. 


Совершенно очевидно, что далее наша функция должна учитывать только пер- 
вый встретившийся нулевой бит и игнорировать все остальное. 


Следующая инструкция — BSF (Bit Scan Forward). Это инструкция находит Ca- 
мый младший бит во втором операнде и записывает его позицию в первый 
операнд. 


ЕАХ=060010000000100000 


После исполнения этой инструкции bsf eax, eax, в EAX будет 5, что означает, 
что единица найдена в пятой позиции (считая с нуля). 


Для использования этой инструкции, в М5\/С также имеется макрос BitScanForward. 


А дальше все просто. Если нулевой байт найден, его позиция прибавляется к 
тому что мы уже насчитали и возвращается результат. 


Почти всё. 


Кстати, следует также отметить, что компилятор MSVC сгенерировал два тела 
цикла сразу, для оптимизации. 


Кстати, в SSE 4.2 (который появился в Intel Core 17) все эти манипуляции со 
строками могут быть еще проще: һїїр: //ммлм. $ гсйг. сот/ѕ+гстр апа ѕїг\еп 
иѕіпо 55е 4.2 


181Здесь используется порядок с MSB до 158182. 
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1.37. 64 бита 
1.37.1. х86-64 


Это расширение х86-архитектуры до 64 бит. 


С точки зрения начинающего reverse епдіпеег-а, наиболее важные отличия от 
32-битного х86 это: 


• Почти все регистры (кроме FPU и SIMD) расширены до 64-бит и получили 
префикс В-. Иеще 8 регистров добавлено. В итоге имеются эти СРВ-ы: ВАХ, 
АВХ, RCX, RDX, RBP, RSP, RSI, ВОТ, R8, R9, R10, R11, R12, R13, R14, R15. 


К ним также можно обращаться так же, как и прежде. Например, для GO- 
ступа к младшим 32 битам ВАХ можно использовать ЕАХ: 


Номер байта: 
7-й | 6-й | 5-й | 4-й | 3-й | 2-й | 1-й | 0-й 
ВАХХ64 


ЕАХ 


АХ 
AH | AL 


У новых регистров R8-R15 также имеются их младшие части: R8D-R15D 
(младшие 32-битные части), В8\/-В15\/ (младшие 16-битные части), ВВЕ -В151. 
(младшие 8-битные части). 


Номер байта: 
7-й | 6-й | 5-й | 4-й | 3-й | 2-й | 1-й | 0-й 
R8 


R8D 


R8W 
R8L 


Удвоено количество $1МО-регистров: с 8 до 16: XMMO-XMM15. 


В win64 передача всех параметров немного иная, это немного похоже на 
fastcall (6.1.3 (стр. 942)). Первые 4 аргумента записываются в регистры 
RCX, RDX, R8, R9, а остальные — в стек. Вызывающая функция также долж- 
на подготовить место из 32 байт чтобы вызываемая функция могла со- 
хранить там первые 4 аргумента и использовать эти регистры по своему 
усмотрению. Короткие функции могут использовать аргументы прямо из 
регистров, но большие функции могут сохранять их значения на будущее. 


Соглашение System V АМО64 ABI (Linux, *BSD, Мас OS X)[Michael Matz, Jan 
Hubicka, Andreas Jaeger, Mark Mitchell, System V Application Binary Interface. 
AMD64 Architecture Processor Supplement, (2013)] также напоминает fastcall, 
использует 6 регистров RDI, RSI, RDX, RCX, R8, R9 для первых шести apry- 
ментов. Остальные передаются через стек. 


183Также доступно здесь: https://software.intel.com/sites/default/files/article/402129/ 
трх-11пихб4-аб1 . рат 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


542 


См. также в соответствующем разделе о способах передачи аргументов 
через стек (6.1 (стр. 940)). 


• int в Си/Си+ +остается 32-битным для совместимости. 
• Все указатели теперь 64-битные. 


Из-за того, что регистров общего пользования теперь вдвое больше, у компи- 
ляторов теперь больше свободного места для маневра, называемого register 
allocation. Для нас это означает, что в итоговом коде будет меньше локальных 
переменных. 


Для примера, функция вычисляющая первый 5-бокс алгоритма шифрования 
DES, она обрабатывает сразу 32/64/128/256 значений, в зависимости от типа 
ОЕ5_Туре (иіпї32, uint64, 55Е2 или AVX), методом bitslice DES (больше об этом 
методе читайте здесь (1.36 (стр. 523))): 


Generated S-box files. 


k 
В 
к This software may Бе modified, redistributed, апа used for апу purpose, 
* so long as its origin is acknowledged. 
* 


Produced by Matthew Kwan - March 1998 


#ifdef _WIN64 

#define DES_type unsigned __int64 
#else 

#define DES type unsigned int 
#endif 


void 

51 ( 
DES Туре а1, 
DES _ type a2, 
DES_type a3, 
DES _type a4, 
DES_ type a5, 
DES _ type a6, 
DES туре жоиї1, 
DES _ type xout2, 
DES _type xout3, 
DES _type xout4 


DES туре х1, x2, x3, x4, x5, хб, x7, х8; 

DES _ type x9, x10, x11, x12, x13, x14, x15, x16; 
DES _ type x17, x18, x19, x20, x21, x22, x23, x24; 
DES _type x25, x26, x27, x28, x29, x30, x31, x32; 
DES _ type x33, x34, x35, x36, x37, x38, x39, x40; 
DES туре x41, x42, x43, x44, x45, x46, x47, x48; 
DES Туре x49, x50, x51, x52, x53, x54, x55, x56; 


x1 
x2 


a3 & -а5; 
х1 ^ а4; 
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x3 = a3 & -а4; 
х4 = x3 | a5; 

х5 = аб & х4; 

хб = х2 ^ х5; 

х7 = а4 & -а5; 
х8 = аз ^ а4; 

х9 = аб & -х8; 
x10 = х7 ^ х9; 
х11 = а2 | х10; 
x12 = x6 ^ х11; 
x13 = a5 ^ x5; 
x14 = x13 & x8; 
x15 = a5 & ~a4; 
x16 = x3 ^ x14; 
x17 = a6 | x16; 
x18 = x15 ^ x17; 
x19 = a2 | x18; 
x20 = x14 ^ x19; 
x21 = al & x20; 
x22 = x12 ^ ~x21; 
xout2 ^= x22; 
x23 = x1 | x5; 
x24 = x23 ^ x8; 
x25 = x18 & ~x2; 
x26 = a2 & ~x25; 
x27 = x24 ^ x26; 
x28 = x6 | x7; 
x29 = x28 ^ x25; 
x30 = x9 ^ x24; 
x31 = x18 & ~x30; 
x32 = a2 & x31; 
x33 = x29 ^ x32; 
x34 = al & x33; 
x35 = х27 ^ x34; 
xout4 ^= x35; 
x36 = a3 & x28; 
x37 = x18 & ~x36; 
x38 = a2 | x3; 
x39 = x37 ^ x38; 
x40 = a3 | x31; 
x41 = x24 & ~х37; 
x42 = x41 | x3; 
x43 = x42 & -а2; 
x44 = x40 ^ x43; 
x45 = al & -х44; 
x46 = x39 ^ ~x45; 
*0и11 ^= x46; 
x47 = X33 & -х9; 
x48 = x47 ^ x39; 
x49 = x4 ^ x36; 
x50 = x49 & ~x5; 
x51 = x42 | x18; 
x52 = x51 ^ a5; 
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x53 = a2 & -х52; 
х54 = х50 ^ х53; 
х55 = а1 | х54; 
х56 = х48 ^ -х55; 
xout3 ^= x56; 


Здесь много локальных переменных. Конечно, далеко не все они будут B NO- 
кальном стеке. Компилируем обычным MSVC 2008 с опцией /0х: 


Листинг 1.399: Оптимизирующий MSVC 2008 


р Function compile flags: /09їру 


PUBLIC s1 
_ TEXT SEGMENT 
_хб$ = -20 
_X3$ = -16 
_x1$ = -12 
_х8$ = -8 
_х4$ = -4 
_а1$ = 8 
а2$ = 12 
_а3$ = 16 
х33$ = 20 
_X7$ = 20 
а4$ = 20 
_а5$ = 24 
1У326 = 28 
х36$ = 28 
_х28$ = 28 
аб$ = 28 
_00и11$ = 32 
_х24$ = 36 
0012$ = 36 
_out3$ = 40 
0014$ = 44 
51 PROC 
sub esp, 
mov edx, 
push ebx 
mov ebx, 
push ebp 
push esi 
mov esi, 
push edi 
mov edi, 
not edi 
mov ebp, 
and edi, 
mov ecx, 
not ecx 
and ebp, 
mov eax, 
and eax, 


edi 
DWORD 
edx 


esi 
ecx 
esi 


size = 
size 
size 
size 
size 
size 
size 
size 
size 
size 
size 
size 
size 
size 
size 
size 
size 
size 
size 
size 
size 


ъъьъьъьъьъьъьһьъъһьһьъһьһъьһьһьъьһъьъььь.}Ъь 


; 00000014H 
РТА а5$[е5р+16] 
РТВ a4$[esp+20] 


РТА _а3$[еѕр+28] 


PTR _a5$[esp+32] 
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апа 
mov 
xor 
mov 
or 

mov 
and 
mov 
mov 
xor 
mov 
mov 
xor 
mov 
xor 
mov 
and 
mov 
mov 
xor 
or 

not 
and 
xor 
mov 
or 

mov 
mov 
xor 
and 
mov 
xor 
not 
or 

xor 
mov 
mov 
xor 
not 
xor 
and 
mov 
mov 
or 

mov 
or 

mov 
xor 
mov 
xor 
not 
and 
mov 


ecx, ebx 
DWORD PTR _х1$[е5р+36], eax 
eax, ebx 
esi, ebp 
esi, edx 
DWORD РТА _х4$[е5р+36], esi 
esi, DWORD PTR _a6$[esp+32] 
DWORD PTR _x7$[esp+32], ecx 
edx, esi 
edx, eax 
DWORD PTR _x6$[esp+36], edx 
edx, DWORD PTR _a3$[esp+32] 
edx, ebx 
ebx, esi 
ebx, DWORD PTR _a5$[esp+32] 
DWORD PTR _х8$[е5р+36], edx 
ebx, edx 


ecx, edx 
edx, ebx 
edx, ebp 


edx, DWORD PTR _a6$[esp+32] 
ecx 

ecx, DWORD PTR _a6$[esp+32] 
edx, edi 

edi, edx 

edi, DWORD PTR _a2$[esp+32] 
DWORD PTR _х3$[е5р+36], ebp 
ebp, DWORD PTR _a2$[esp+32] 
edi, ebx 

edi, DWORD PTR _а1$[е5р+32] 
ebx, ecx 

ebx, DWORD PTR _x7$[esp+32] 
edi 


ebx, ebp 
edi, ebx 
ebx, edi 


edi, DWORD PTR _out2$[esp+32] 
ebx, DWORD PTR [edi] 

eax 

ebx, DWORD PTR _x6$[esp+36] 
eax, edx 

DWORD PTR [edi], ebx 

ebx, DWORD PTR _x7$[esp+32] 
ebx, DWORD PTR _x6$[esp+36] 
edi, esi 

edi, DWORD PTR х1$[еѕр+36] 
DWORD PTR _x28$[esp+32], ebx 
edi, DWORD РТВ x8$[esp+36] 
DWORD PTR x24$[esp+32], edi 
edi, ecx 


edi 
edi, edx 
ebx, edi 
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апа 
хог 
хог 
not 
mov 
and 
and 
xor 
mov 
xor 
xor 
mov 
mov 
and 
mov 
or 

mov 
not 
and 
or 

xor 
not 
and 
not 
or 

not 
and 
or 

xor 
mov 
xor 
xor 
mov 
not 
and 
not 
and 
and 
xor 
or 

not 
xor 
not 
and 
xor 
not 
mov 
xor 
mov 
xor 
pop 
pop 
xor 


ebx, ebp 

ebx, DWORD РТВ _x28$[esp+32] 
ebx, eax 

eax 


DWORD PTR _х33$[е5р+32], ebx 
ebx, DWORD PTR а1$[еѕр+32] 
eax, ebp 

eax, ebx 

ebx, DWORD PTR _out4$[esp+32] 
eax, DWORD PTR [ebx] 

eax, DWORD РТВ _x24$[esp+32] 
DWORD PTR [ebx], eax 

eax, DWORD РТВ _x28$[esp+32] 
eax, DWORD PTR _a3$[esp+32] 
ebx, DWORD PTR _x3$[esp+36] 
edi, DWORD PTR _a3$[esp+32] 
DWORD PTR _х36$[е5р+32], eax 


eax 
eax, edx 

ebx, ebp 

ebx, eax 

eax 

eax, DWORD РТВ _x24$[esp+32] 
ebp 

eax, DWORD РТА _х3$[е5р+36] 
esi 

ebp, eax 

eax, edx 


eax, DWORD PTR _a5$[esp+32] 
edx, DWORD РТВ _x36$[esp+32] 
edx, DWORD РТА _х4$[е5р+36] 


ebp, edi 

edi, DWORD PTR _out1i$[esp+32] 
eax 

eax, DWORD PTR _a2$[esp+32] 
ebp 

ebp, DWORD PTR _а1$[е<$р+32] 
edx, esi 

eax, edx 

eax, DWORD PTR а1$[еѕр+32] 
ebp 

ebp, DWORD PTR [edi] 

ecx 

ecx, DWORD РТВ _x33$[esp+32] 
ebp, ebx 

eax 

DWORD PTR [edi], ebp 

eax, ecx 


ecx, DWORD PTR _out3$[esp+32] 
eax, DWORD PTR [ecx] 

edi 

esi 

eax, ebx 
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_51 


рор ебр 
mov DWORD PTR [ecx], eax 
pop ebx 
add esp, 20 
ret 0 
ЕМОР 


5 переменных компилятору пришлось разместить в локальном стеке. 


Теперь попробуем то же самое только в 64-битной версии MSVC 2008: 


Листинг 1.400: Оптимизирующий MSVC 2008 


а1$ 
а2$ 


ини 
N 
N 


0 
2 
о 
о 


кҥн ҥн 
NNE 
со о м 


88 


104 


QWORD РТВ [г$5р+24], rbx 
QWORD РТВ [г$5р+32], rbp 
QWORD РТВ [г5р+16], гах 
QWORD РТВ [г5р+8], rcx 
rsi 

rdi 

r12 

r13 

r14 

r15 

r15, QWORD PTR a5$[rsp] 
rcx, QWORD PTR a6$[rsp] 
rbp, r8 

r10, r9 

rax, r15 

rdx, rbp 

rax 

rdx, r9 

r10 

r11, rax 

rax, r9 

rsi, r10 

QWORD PTR x36$1$[rsp], 
r11, гё 

rsi, r8 

r10, r15 

r13, rdx 

rbx, r11 
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хог 
mov 
mov 
or 

not 
and 
mov 
and 
mov 
mov 
xor 
xor 
not 
and 
mov 
xor 
or 

xor 
and 
mov 
or 

xor 
mov 
xor 
and 
or 

not 
xor 
mov 
xor 
xor 
mov 
mov 
mov 
or 

or 

mov 
xor 
mov 
mov 
mov 
xor 
not 
and 
mov 
and 
xor 
xor 
not 
and 
mov 
and 
xor 


rbx, r9 
r9, QWORD PTR a2$[rsp] 
r12, rsi 
r12, r15 
r13 

r13, rcx 
r14, r12 
r14, rcx 
rax, r14 
r8, r14 
r8, rbx 
rax, r15 
rbx 

rax, rdx 
rdi, rax 
rdi, rsi 
rdi, rcx 
rdi, r10 
rbx, rdi 
rcx, rdi 
rcx, r9 
rcx, rax 
rax, r13 


rax, QWORD PTR x36$1$[rsp] 
rcx, QWORD PTR а1$[г$р] 


rax, r9 
rcx 
rcx, rax 


rax, QWORD PTR out2$[rsp] 
rcx, QWORD PTR [rax] 

rcx, r8 

QWORD PTR [rax], rcx 

rax, QWORD PTR x36$1$[rsp] 


rcx, r14 

rax, r8 

rcx, r11 

г11, r9 

rcx, rdx 

QWORD PTR x36$1$[rsp], rax 
r8, rsi 

rdx, rcx 

rdx, r13 

rdx 

rdx, rdi 

r10, rdx 

r10, r9 

r10, rax 

r10, rbx 

rbx 

rbx, r9 

rax, r10 

гах, QWORD PTR а1$[г$р] 
rbx, rax 
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mov 
xor 
xor 
mov 
mov 
and 
mov 
not 
and 
or 

mov 
xor 
not 
and 
or 

mov 
or 

xor 
mov 
not 
not 
not 
and 
or 

and 
xor 
xor 
mov 
not 
not 
and 
and 
and 
xor 
mov 
not 
xor 
or 

not 
xor 
mov 
mov 
xor 
xor 
xor 
mov 
pop 
pop 
pop 
pop 
pop 
pop 
ret 


rax, QWORD PTR out4$[rsp] 
rbx, QWORD PTR [rax] 

rbx, rcx 

QWORD PTR [rax], rbx 

rbx, QWORD PTR x36$1$[rsp] 


rbx, rbp 

r9, rbx 

r9 

r9, rdi 

r8, r11 

гах, QWORD PTR outi$[rsp] 
r8, r9 

r9 

r9, rcx 

rdx, rbp 

rbp, QWORD PTR [rsp+80] 
r9, rsi 

rbx, r12 

rcx, r11 

rcx 

r14 

r13 

rcx, r9 

r9, rdi 

rbx, r14 

r9, r15 

rcx, rdx 

rdx, QWORD PTR а1$[г$р] 
r9 

rcx 

r13, r10 

r9, r11 

rcx, rdx 

r9, rbx 

rbx, QWORD PTR [rsp+72] 
rcx 

rcx, QWORD PTR [rax] 
r9, rdx 

r9 

rcx, r8 


QWORD PTR [rax], rcx 
rax, QWORD PTR out3$[rsp] 
r9, r13 

r9, QWORD PTR [rax] 
r9, r8 

QWORD PTR [rax], r9 
r15 

r14 

r13 

r12 

rdi 

rsi 

0 
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51 ЕМОР 


Компилятор ничего не выделил в локальном стеке, а х36 это синоним для а5. 


Кстати, существуют процессоры с еще большим количеством СРВ, например, 
Itanium — 128 регистров. 
1.37.2. АВМ 


64-битные инструкции появились в АВМ\8. 


1.37.3. Числа с плавающей запятой 


О том как происходит работа с числами с плавающей запятой в х86-64, читайте 
здесь: 1.38 (стр. 551). 


1.37.4. Критика 64-битной архитектуры 


Некоторые люди иногда сетуют на то что указатели теперь 64-битные: ведь 
теперь для хранения всех указателей нужно в 2 раза больше места в памяти, 
в т.ч. и в кэш-памяти, не смотря на то что х64-процессоры могут адресовать 
только 48 бит внешней RAM184, 


Указатели уже настолько вышли из моды, что мне приходит- 
ся вступать по этому поводу в споры. Если говорить о моем 64- 
разрядном компьютере, то, если действительно заботиться о про- 
изводительности моего компьютера, мне приходится признать, 
что лучше отказаться от использования указателей, поскольку 
на моей машине 64-битные регистры, но всего 2 гигабайта опера- 
тивной памяти. Поэтому у указателя никогда не бывает больше 
32 значащих битов. Но каждый раз, когда я использую указатель, 
это стоит мне 64 бита, и это удваивает размер моей структуры 
данных. Более того, это еще идет и в кэш-память, и половины 
кэш-памяти как не бывало, а за это приходится платить - кэшпа- 
мять дорогая. 

Поэтому я на самом деле пытаюсь сейчас пробовать новые ва- 
рианты, то есть мне приходится вместо указателей использовать 
массивы. Я создаю сложные макросы, то есть создаю видимость 
использования указателей, хотя на самом деле их не использую. 


( Дональд Кнут в “Кодеры за работой. Размышления о ремесле программиста”. 


) 


Некоторые люди делают свои аллокаторы памяти. Интересен случай с СгуроМи5 а ?. 


Эта программа довольно редко использует более 4GiB памяти, но она очень 


184Вапаот-Ассе$$ Memory 
185https://github.com/msoos/cryptominisat/ 
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активно использует указатели. Так что, на 32-битной платформе она требова- 
ла меньше памяти, чем на 64-битной. Чтобы справиться с этой проблемой, ав- 
тор создал свой аллокатор (в файлах с!аизеа!осатог. (В|срр)), который позволя- 
ет иметь доступ к выделенной памяти используя 32-битные идентификаторы 
вместо 64-битных указателей. 


1.38. Работа с числами с плавающей запятой (SIMD) 
Разумеется, FPU остался в х86-совместимых процессорах в то время, когда вве- 
ли расширения SIMD. 


$1 МО-расширения (55Е2) позволяют удобнее работать с числами с плавающей 
запятой. 


Формат чисел остается тот же (ІЕЕЕ 754). 


Так что современные компиляторы (включая те, что компилируют под х86-64) 
обычно используют 51МО-инструкции вместо ЕРУ-инструкций. 


Это, можно сказать, хорошая новость, потому что работать с ними легче. 


Примеры будем использовать из секции о FPU: 1.25 (стр. 283). 


1.38.1. Простой пример 


#include <stdio.h> 
double f (double a, double b) 
{ 
return а/3.14 + b*4.1; 
}; 
int main() 
{ 
printf ("%f\n", f(1.2, 3.4)); 
}; 
x64 


Листинг 1.401: Оптимизирующий MSVC 2012 x64 


_ real@4010666666666666 DQ 04010666666666666r ; 4.1 


_ real@40091leb851eb851f DQ 040091eb851eb851fr ; 3.14 
а$ = 8 

b$ = 16 

f PROC 


divsd  хтт0, QWORD РТК real@40091eb851eb851f 
mulsd хтт1, QWORD РТК  real@4010666666666666 
addsd xmm, xmm1 
ret 0 

f ENDP 
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Собственно, входные значения с плавающей запятой передаются через реги- 
стры ХММӨ-ХММЗ, а остальные — через стек 186. 


а передается через ХММ, b — через ХММ1. Но ХММ-регистры (как мы уже знаем 
из секции о SIMD: 1.36 (стр. 522)) 128-битные, а значения типа double— 64- 
битные, так что используется только младшая половина регистра. 


DIVSD это 55Е-инструкция, означает «Divide Scalar Double-Precision Floating-Point 
Values», и просто делит значение типа double на другое, лежащие в младших 
половинах операндов. 


Константы закодированы компилятором в формате IEEE 754. 
МОГ 5р и Аррѕр работают так же, только производят умножение и сложение. 


Результат работы функции типа double функция оставляет в регистре ХММӨ. 


Как работает неоптимизирующий М5\С: 


Листинг 1.402: MSVC 2012 x64 


__геа1@4010666666666666 DQ 04010666666666666г ; 4.1 


__геа\@40091е6 851е6851+ DQ 040091е6851е6 8511г ; 3.14 
а$ = 8 

b$ = 16 

f PROC 


movsdx QWORD PTR [rsp+16], хтт1 
movsdx QWORD PTR [rsp+8], xmmO 
movsdx хттӨ, QWORD РТВ a$[rsp] 
divsd  хтт0, QWORD РТК real@40091eb851eb851f 
movsdx хтт1, QWORD PTR b$[rsp] 
mulsd хтт1, QWORD РТК  real@4010666666666666 
addsd хтт0, хтт1 
геї 0 
f ENDP 


Чуть более избыточно. Входные аргументы сохраняются B «shadow space» (1.14.2 
(стр. 135)), причем, только младшие половины регистров, т.е. только 64-битные 
значения типа double. Результат работы компилятора ССС точно такой же. 


х86 


Скомпилируем этот пример также и под x86. MSVC 2012 даже генерируя под 
х86, использует 55Е2-инструкции: 


Листинг 1.403: Неоптимизирующий MSVC 2012 x86 


tv70 = -8 ; size = 8 
_а$ = 8 ; size = 8 
b$ = 16 ; size = 8 
f PROC 

push ebp 


186MSDN: Parameter Passing 
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mov ebp, esp 
sub esp, 8 
movsd хтт@, QWORD PTR _a$[ebp] 
divsd  хтто, QWORD РТК real@40091eb851eb851f 
movsd хтт1, QWORD PTR _b$[ebp] 
mulsd хтт1, QWORD РТК  real@4010666666666666 
addsd xmm0, хтт1 
movsd QWORD PTR tv70[ebp], хттб 
fld QWORD PTR tv70[ebp] 
mov esp, ebp 
pop ebp 
ret 0 
f ENDP 
Листинг 1.404: Оптимизирующий М5\С 2012 x86 
tv67 = 8 ; size = 8 
_а$ = 8 ; size = 8 
_6$ = 16 ; size = 8 
Е PROC 
movsd хтт1, QWORD PTR _а$[е<р-4] 
divsd хтт1, QWORD РТК real@40091eb851eb851f 
movsd хттб, QWORD PTR _b$[esp-4] 
mulsd xmmO, QWORD РТК  real@4010666666666666 
addsd хтт1‚ хтто 
movsd QWORD РТА tv67[esp-4], хтт1 
fld QWORD PTR tv67[esp-4] 
ret 0 
f ENDP 


Код почти такой же, правда есть пара отличий связанных с соглашениями о 


вызовах: 


1) аргументы передаются не в ХММ-регистрах, а через стек, как и прежде, в 
примерах с FPU (1.25 (стр. 283)); 


2) результат работы функции возвращается через ST(0) — для этого он через 
стек (через локальную переменную tv) копируется из ХММ-регистра в ST(0). 
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Попробуем соптимизированный пример в OllyDbg: 


main thread, module simple 
МОЏ50 ХММ1, QWORD PTR SS:[ESP+4] 
PTR 1; 


0105р 1, 1 
МОЏ50 ХММ, QWORD РТВ 55: СЕ5Р+аСЈ 
MULSO ХММ, QWORD PTR 05: С13320001 FLOAT 4. 1900! 
[29-5808 10050 ХММ1, ХММӘ 

F20F114C24 Ø| М0У$0 QWORD PTR 55: СЕ5Р+47, ХММ1 
004424 94 PED OORD PTR 55: [ESP+4] 


MSUCR110.—initenyv 


В(ЕЕЕЕЕЕЕЕ) 


сс 
FžaF 1005 саг FLOAT 3.40001 BLEFFFEFEF) 


С SUB ESP, 10 
72114424 0] 10950 ШОРО PTR SS: [Е5Р+81, ММВ Рааддан. 


F20F 1005 TEFDDØGOL FFF) 


MOUSD ХММ, QWORD PTR DS:[1332088] FLOAT 1.20001  ВСЕЕЕРЕЕЕЕ) 


Е20Е119424 | М0У$0 QWORD РТВ 55: ГЕ5Р1,ХММ@ 
E8 АОРРЕРЕЕ |CALL 01331000 
DDSC24 08 FSTP_QWORD PTR 55: СЕ5Р+81 


ADD ESP, 8 

PUSH OFFSET 01333000 ASCII "ғ" 
CALL DWORD PTR DS:[<&MSUCR110.printf>] 
ADD ESP, ВС 

XOR EAX, EAX 

RETN 


j ERRO 
(NO, NB, МЕ, Я, NS 


INTS 

MOU EAX, 5940 

9000: СМР WORD PTR DS:[<STRUCT IMAGE_DOS_HEADI 
JE SHORT 01331082 

XOR EAX, EAX 

JMP SHORT 81331886 

MOU ECX, DWORD PTR DS: [13233003C] 

CMP DWORD PTR DS:[ECX+<STRUCT IMAGE_DOS] 
75 EA JNE SHORT 60133107E 
В BS 968919000 | МОУ EAX, 106 
[813328С81=3. 14 


2000000000000 
ХИМ1-8.6, 1.200000008009008 


Егг 
Mask 


RETURN from simple.01331030 to simple.013 


Pointer to nest SEH record 
E handler 


Рис. 1.113: OllyDbg: MOVSD загрузила значение a B ХММ1 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


CPU - тат thread, module simple 
F2ØF104C24 0; MOUSO ХММ1, ОШОКО PTR е9 Р 
Е2@ЕБЕЙП Сад! 01050 ХММ1, ШОО PTR 1490 : ату, 
Е20Ғ10 050 ХММ, QWORD РТВ 55: [Е$Р+8С1 Е з= ш 
F20F5905 DØZİ MULSO XMMØ,QWORD РТВ DS:[13320001 
Е20Е58С8 0050 ХММ1, ХММ 
F20F114C24 0! MOVSD QWORD PTR 55: СЕ5Р+47, ХММ1 ТЕВС@ 
004424 94 |ҒЬО ОШОКО PTR $5:ГЕ5Р+41 ДОГОО 
RETN SI 88080001 
OOGAI 


060133100E simple. 00133100E 


сс ИШЕ OLFFFFFFFF) 
З ЯСЕЕЕЕЕЕЕЕ) 

Ғ20Е1005 С82! MOVSD XMM, QWORD РТВ 05: 1332087 FLOAT 3.4800 ОС ЕЕЕЕЕЕЕЕ) 

ЗЗЕС 18 SUB ESP, 10 = @СЕЕЕЕЕЕЕЕ) 

[202114424 0: MOUSD ОШОВО PTR 55: ГЕ5Р+@1,ХММӘ со 05 ЕЕ 

ЕЕ loos ЕЗ2! MOUSD XMM, QWORD PTR DS: [1232068] FLOAT 1.20001 50 с ОЕЕРООВӘСЕЕ 

Е20Е110424 | М0050 ОШОБО РТК 55: [ESP], ХММа н ы 

ES ADFFFFFF |CALL 81331808 

005С24 88 |FSTP_QWORD РТВ $3: [Е$Р+81 


ADD ЕЗР,8 
PUSH OFFSET 01333000 ASCII "ғ" В empty 
e g PTR 05: [<&MSUCR110.printf>] Т1 empty 


ВОО ESP, ØC е 
XOR ЕЙХ,ЕНХ НА 
ВЕТМ 


LastErr 
90000292 
9.0 


пру 
empty 
6 empty 
empty 0 
3 J 201 
0000 о 3 а Ø (GT) 


MOU EAX, SA40 
9000: СМР WORD PTR DS:[<STRUCT IMAGE_DOS_HEADI смпа 9000! 
ЈЕ SHORT 81331882 7 Ес 
ХОБ EAX, EAX 


JMP SHORT 81331886 

MOU ECX, DWORD PTR 05:[133883С1 
CMP DWORD PTR DS:[CECX+<STRUCT IMAGE_DOS] 
HE ЕНӘ 60199107E 


Stack ГОО1ТЕБСС12. 4000000000001 
XMMO=0.0, 1.200000000000000 
R 99981298 FZ ð DZ 
Rnd NEAR 


RETURN from simple.01331030 to simple. 013 


ооооооо 
) ©) б @) @) бр б б) бо б 


ооо! 
113] 


115 


Pointer to пене SEH record 
SE handler 


Боо 
роо 


йй Ci 
8817ЕС83 


® ® @ @ @ @ ® © ОООО 


Боос 


Рис. 1.114: OllyDbg: DIVSD вычислила частное и оставила его в ХММ1 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


Ў СРО - тат thread, module simple 


FLOAT 3. 1400! 
ЕЗР+8С] 
13328081 аи 4.1000 


'800$0 ХММ1, ММА LOAT 9.8, 1: 
МО050 GUORD PTR $5: [ESP+4], ХММ1 
FLD МОНО РТВ 55: [Е5Р+41 


—initeny 


В(ЕЕЕЕЕЕЕЕ) 


СС 
Е20Е1906 ОВ! noveo Уна, UORD PTR DS: [18320081 FLOAT З. 42001 SEE EEEEE 


ЗОВ ESP; @(ЕЕЕЕЕЕЕЕ) 
ЁОБЕ114424 øi ПОШ5р ОШОВр PTR SS: LESP+87, ХИМ р АДА Я 
ЕЕ loos ЕЗ2! MOUSD XMM, QWORD PTR DS: [1232068] FLOAT 1.20001 ВЕ Е ТЕЕООӨВӨСЕГ 
F2øF110424 | №0050 ОШОО PTR 55: ГЕЗР1, ХММ Е КЕ 

ЕВ ADFFFFFF |CALL 01331808 LastErr 
DDSC24 08 FSTP_QWORD PTR 55: СЕ5Р+81 = 


ADD ESP, 8 90000282 
PUSH OFFSET 01333000 ASCII "ғ" В empty В.В 
CALL DWORD PTR DS:[<&MSUCR110.printf>] 71 empty 0. 
ADD ESP, ØC enpty ©. 
XOR EAX, EAX 
RETN “ру 
empty 
6 empty 
empty ð 
3 20 І 
ooga о 3 а аа (GT) 


MOU EAX, 540 Ва Бо 11 
ке 8.083 ЕСВТВИСТ ІМАВЕ 008. НЕО mnd OOS: OBDO 

хмме - 013:2499999999959 
УЙЕ SHORT 01331086 


MOU ECX, DWORD PTR DS:[133003C] ЫН ебри 
СМР DWORD PTR 05: СЕСХ+<ЭТВИСТ IMAGE DOS) nme в. 
УМЕ SHORT 0133107 


Ее а DZ 
Rnd NEAR 


RETURN from simple.01331030 to simple. 013 


ооооооо 
) ©) б @) @) бр б б) бо б 


ооо! 
113] 


115 


Pointer to пене SEH record 
SE handler 


© 
5 


® ® @ @ @ @ ® @ ОООО ЈО 
po ‹ 
Бос 


Боос 


Eri FEOS 


Рис. 1.115: OllyDbg: MULSD вычислила произведение и оставила ero в XMMO 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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CPU - тат thread, module simple 


Ғ20Ғ104С24 Øj МОУ$О XMM1,QWORD PTR 55: [Е5Р+4] 
01950 XMM1,QWORD PTR 13320С01 FLOAT 3.14001 

МӘ, QWUORD PTR SS:[ESP+0C] 
MULSO ХММ, QWORD PTR 05: С13320001 FLOAT 4.1800 
F20F58C8 й00$0 ХММ1, XMMØ 
2295114624 Ø; MOUSD ОШОВО PTR SS:[ESP+4], ХММ! FLOAT 8.8, 1 


004424 04 БЕО ОО РТВ 55: СЕ5Р+47 0017FC10 


00001 


ре. 


В(ЕЕЕЕЕЕЕЕ) 


сс ИШЕ; 
2051905 С82{ 10050 ХММ, ОШОО PTR 05: С13320С81 FLOAT З. 42001 Е ЕЕ 
ӨЗЕС 18 SUB ESP, 18 a 


С В ЕЗР, 
29114424 8] 0050 ОШОВО PTR $3: СЕЗР+81, ХММ 0028 ыа аы НН 
FSF 109S ВВ! MOUSD XMMO, OWORD PTR DS: 13520881 FLOAT 1.20001 Б 005 СЕРОВА 
220110424 | №0050 ОШОВО PTR 35: CESP], XMMO 
ЕВ ADFFFFFF |CALL 81331808 
00524 08 |Е5ТР ОШОВО PTR 33: [ЕЗР+81 


ADD ЕЅР,8 
PUSH OFFSET 81333888 ASCII "ғ" STØ empty В.В 
CALL DWORD PTR DS:[<&MSUCR110.printf>] STi empty 9.9 


00000202 (М0, МВ, МЕ, А, NS, РО, GE, G) 


MOU EAX, 5840 
йййй: СМР WORD PTR DS:[<STRUCT IMAGE DOS_HEAD 
ЈЕ SHORT 01331082 

SAP SHORT 01331086 хина )-22оворевовваве 
MOU ECX, DWORD PTR 0$: 1330031 і : Е 
СМР ОШОО PTR 0$: CECX+<STRUCT IMAGE DOS) 
JNE SHORT 60133107E 

88 ОВа1000а |MOU EAX, 108 


ХМИ1=0.0, 14.32216560509554 
Stack [8017Е8С4]=1.2888000000000098 


OØOGIFAG FZ Ø DZ Ø Err 
Rnd NEAR Mask 
N s 
йй 08 йй 
ай ай ва 


@ 
RETURN from =імр1е.01331030 to simple.013 


Pointer to nest SEH record 
0| SE handler 


Рис. 1.116: OllyDbg: ADDSD прибавила значение в XMMO к XMM1 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


CPU - тат thread, module simple 


F20F104C24 Øi MOUSD XMM1,QWORD PTR SS:[ESP+4] 
01050 XMM1,QWORD PTR DS:[13320C0] FLOAT 3.1488 
MOUSD XMMØ, QWORD РТВ SS:[ESP+ØC] 
MULSD XMMØ, QWORD PTR 0$:[13328081 FLOAT 4. 1900! 
Е20Е58С8 90050 ХММ1, ХММ 
Е20Ғ114С24 Øj MOUSD QWORD PTR 55: СЕ5Р+41, ХММ1 
орала 94 емо РТВ 55: [Е$Р+41 


СК110.__іпітепу 


> 0133102 
ES Ø 


СС IN 
Е20Е1005 С82| MOUSD XMMØ,GWORD PTR DS:[13320C81] FLOAT 3.40001 
ВЗЕС 10 SUB ESP, 10 

F20F114424 Øi MOUSD ОШОРО PTR SS: ГЕБР+81, ХИМ@ ВЕЕР 
F20F 109e Бад! MOUSD УМНО ОШОВО PTR DS: [15320881 FLOAT 1.20001 {БЕШЮӨРГЕР 
Е2ӘЕ110424__ | MOUSD ООВ PTR 55: СЕ5РІ, ХММа i 

ES ADFFFFFF |CALL 01331000 ER 

005624 98 {РТР ОШОВО PTR 55:ГЕ5Р+81 А 

POSH OFÉSET 01333000 ASCII "ИБ" 4 се 
CALL DUORD РТА DS: [<&MSUCR110.printf>] valid t4.322165605095539990 


CHP MORD PTR DS: [<STRUCT IMAGE 009. НЕС F NEOR, 
СИР UORD PTR DS: L nd 0023:01331026 
XOR EAX, EAX 
SHORT 01331086 
ECX, DWORD PTR DS: [13309301 
DWORD PTR DS: CECX+<SSTRUCT ІМАВЕ_005, 
SHORT 8133187Е 
EAX, 108 


М 
зімр іе. 


1FA0 Рг в DZ 0 
Rnd NEAR 


RETURN from simple.01331030 to simple.013 


Pointer to nest SEH re 
E handler 


Рис. 1.117: OllyDbg: FLD оставляет результат функции в 5Т(0) 


Видно, что OllyDbg показывает ХММ-регистры как пары чисел в формате double, 
но используется только младшая часть. 


Должно быть, OllyDbg показывает их именно так, потому что сейчас исполня- 
ются 55Е2-инструкции с суффиксом -$р. 


Но конечно же, можно переключить отображение значений в регистрах и по- 
смотреть содержимое как 4 ПоаЁ-числа или просто как 16 байт. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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1.38.2. Передача чисел с плавающей запятой в аргументах 


#include <math.h> 
#include <stdio.h> 


int main () 
{ 
printf ("32.01 ^ 1.54 = %lf\n", pow (32.01,1.54)); 


return 0; 


Они передаются в младших половинах регистров XMMO-XMM3. 


Листинг 1.405: Оптимизирующий MSVC 2012 x64 


$561354 DB '32.01 ^ 1.54 = %1#', бан, ӨӨН 
_геа1040400147ае147ае1 DQ 040400147ае147ае1г ; 32.01 
_ real@3ff8a3d70a3d70a4 DQ 03ff8a3d70a3d70a4r ; 1.54 
та1п PROC 
sub rsp, 40 ; 00000028H 


movsdx хтт1, QWORD PTR  real@3ff8a3d70a3d70a4 
movsdx xmmO, QWORD PTR _ геа1@40400147ае147ае1 


call pow 
lea rcx, OFFSET ЕІАТ: $561354 
movaps хтт1, хтто 
movd rdx, хтт1 
call printf 
xor eax, eax 
add rsp, 40 ; 00000028H 
ret 0 
main ENDP 


Инструкции MOVSDX нет в документации от Intel n AMD (11.1.4 (стр. 1269)), там 
она называется просто MOVSD. Таким образом, в процессорах x86 две инструк- 
ции с одинаковым именем (о второй: .1.6 (стр. 1289)). Возможно, в Microsoft 
решили избежать путаницы и переименовали инструкцию в MOVSDX. Она npo- 
сто загружает значение в младшую половину ХММ-регистра. 


Функция ром() берет аргументы из XMMO и ХММ1, и возвращает результат в ХММӨ. 
Далее он перекладывается в ВОХ для ргіпї? (). Почему? Может быть, это NOTO- 
му что printf ()— функция с переменным количеством аргументов? 


Листинг 1.406: Оптимизирующий ССС 4.4.6 x64 


.LC2: 
„string "32.01 ^ 1.54 = %1#\п" 
main: 
sub rsp, 8 
movsd хтт1, QWORD PTR .LCO[rip] 
movsd xmm, QWORD PTR .LC1[rip] 
call pow 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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; результат сейчас в XMMO 


тоу еді, OFFSET ЕГАТ:.С2 
тоу eax, 1 ; количество переданных векторных регистров 
са11 printf 
xor eax, eax 
add rsp, 8 
ret 
.LCO: 
. Long 171798692 
. Long 1073259479 
.LC1: 


.long 2920577761 
‚опо 1077936455 


ССС работает понятнее. Значение для ргіпі? () передается в ХММб. Кстати, вот 
тот случай, когда в EAX для ргіпї#() записывается 1 — это значит, что будет 
передан один аргумент в векторных регистрах, так того требует стандарт 
[Michael Matz, Jan Нибіска, Andreas Jaeger, Mark Mitchell, System V Application 
Binary Interface. AMD64 Architecture Processor Supplement, (2013)] 187. 


1.38.3. Пример со сравнением 


#include <stdio.h> 


double d_max (double a, double b) 


{ 

if (a>b) 

return a; 

return b; 
$; 
int main() 
{ 

printf ("%f\n", d_max (1.2, 3.4)); 

printf ("%f\n", а мах (5.6, -4)); 
$; 
x64 

Листинг 1.407: Оптимизирующий MSVC 2012 x64 

a$ = 8 
b$ = 16 
Ч тах PROC 

сотіѕа хттб, хтт1 

ја SHORT $1№2@4_ max 

movaps хттб, хтт1 
$.№2@4_ тах: 


187Также доступно здесь: https://software.intel.com/sites/default/files/article/402129/ 
mpx- 11пихб4-арі.рат 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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fatret 0 
Ч тах  ЕМОР 


Оптимизирующий М5\/С генерирует очень понятный код. 


Инструкция СОМІЅр это «Compare Scalar Ordered роиЫе-Ргесіѕіоп Floating-Point 
Values апа Set ЕҒІАС5». Собственно, это она и делает. 


Неоптимизирующий МУС генерирует более избыточно, но тоже всё понятно: 


Листинг 1.408: MSVC 2012 x64 


а$ = 8 
b$ = 16 
а тах PROC 
томѕах QWORD РТВ [г5р+16], хтт1 
movsdx QWORD РТА [г5р+8], хттб 
movsdx хттб, ОМОВО РТВ а$[г5р] 
сотіѕа хттбд, QWORD РТА b$[rsp] 
јре SHORT $LN1@d_ тах 
movsdx xmmO, QWORD РТВ a$[rsp] 
jmp SHORT $LN2@d_ max 
$LN1@d_max: 
movsdx xmmO, QWORD PTR b$[rsp] 
$LN2@d_max: 
fatret 0 
Ч тах ENDP 


А вот ССС 4.4.6 дошел в оптимизации дальше и применил инструкцию МАХЅр 
(«Return Maximum Scalar роиЫе-Ргесіѕіоп Floating-Point Value»), которая просто 
выбирает максимальное значение! 


Листинг 1.409: Оптимизирующий ССС 4.4.6 x64 


Ч пах: 
тах$4 xmm, xmm1 
ret 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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х86 
Скомпилируем этот пример в MSVC 2012 с включенной оптимизацией: 


Листинг 1.410: Оптимизирующий М5\С 2012 x86 


_а$ = 8 ; сле = 8 
_0$ = 16 ; 5176 = 8 
а тах PROC 


movsd xmm, QWORD PTR _а$[е<р-4] 
comisd хттб, QWORD PTR _b$[esp-4] 


jbe SHORT $LN1@d_ max 
fld QWORD PTR _а$[е<р-4] 
ret 0 

$_№10а тах: 
fld QWORD PTR _b$[esp-4] 
ret 0 

_Ч9 тах ЕМОР 


Всё то же самое, только значения а и b берутся из стека, а результат функции 
оставляется в $Т(0). 


Если загрузить этот пример в OllyDbg, увидим, как инструкция COMISD сравни- 
вает значения и устанавливает/сбрасывает флаги СЕ и РЕ: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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CPU - main thread, module д тах 


$ F20F104424 0; MOUSD ХММ, ОШОКО PTR SS:[ARG. 1] 
. 66892224424 Øl COMISD ХММ, QWORD РТВ SS:[ARG.3] 


r76 05 JBE SHORT 00821013 
. [= 94 FLD QWORD РТВ $$S:[ARG.1] 
> 


ВЕТМ 
004424 ØC FLO ОШОВО РТВ $$: [АВб.31 
в [бв 


сс 

22851085 cazi О ХММ, QWORD РТВ 05: С8220С01 
ЗЗЕС 18 SUB ESP, 18 

F20F114424 0; МОЏЅ0 QWORD PTR SS:[LOCAL. 11, ХММа 
F20F1005 МОЏ50 XMMØ, QWORD РТВ DS:[822088] 


ЕЕЕЕЕЕЕЕ) 
ØLFFFFFFFF) 
ØLFFFFFFFF) 
BLFFFFFFFF) 
ТЕРООВВВ(ЕЕЕ)} 
ØLFFFFFFFF) 


LastErr 000! 


F20F110424 | №0950 OWORO PTR 35: CLOCAL. 37, ХММа в 

ES BDFFFFFF |CALL 00821000 09000203 (NO, В, МЕ, ВЕ, Т 

005С24 98 |ҒӘТР ОШОКО PTR SS:CLOCAL.11 STØ empty 0.0 

ADD ESP, 8 PAE 

gasagzaa |PUSH OFFSET 00s23000 ; РБ 9-0 

ЕЕЕ 20208201 CALL DWORD PTR DS: ГСЗНБЫСВ11б.рг1пє#>1 : при 

Е20ғ 1005 повео Хима, оново PTR 08:822008) при 

Ғ20Е114424 0: №0050 ОШОВО PTR 55: Г1 ОСА. 11, ХММа | Dora 
Cai MOUSD ММВ, OORD PTR DS: 8228681 sita 

№0050 ОШОРО PTR SS: CLOCAL. 31, ХММа е 

CALL 09821008 

FSTP_OWORD РТВ $5: С_ОСАІ. 11 

ADD ЕЗР,8 


PUSH OFFSET 00823004 
CALL DWORD PTR DS:[<&MSUCR110.printf>] 
ADD ESP, ВС 
XOR EAX, EAX 
RETN 
INT: 
INT: 
MOU EAX, 5A40 


Jump is taken 

Оез+=4_ман. 00821013 К К 
FZ в DZ в 
Rnd NEAR 


RETURN from d max. 00821020 to d mas. 


Рис. 1.118: OllyDbg: COMISD изменила флаги CF и РЕ 


1.38.4. Вычисление машинного эпсилона: x64 и SIMD 


Вернемся к примеру «вычисление машинного эпсилона» для double листинг.1.32.2. 


Теперь скомпилируем его для x64: 


Листинг 1.411: Оптимизирующий М5\С 2012 x64 


у$ = 8 

са1си1ате тасһіпе ерѕі1оп PROC 
movsdx QWORD РТА v$[rsp], хттбо 
movaps хтт1, хттб 
inc QWORD PTR v$[rsp] 
movsdx хттб, QWORD РТА v$[rsp] 
subsd  хттб, xmm1 
ret 0 

calculate machine epsilon ЕМОР 


Нет способа прибавить 1 к значению в 128-битном ХММ-регистре, так что его 
нужно в начале поместить в память. 


Впрочем, есть инструкция ADDSD (Add Scalar Double-Precision Floating-Point Values), 
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которая может прибавить значение к младшей 64-битной части ХММ-регистра 
игнорируя старшую половину, но наверное MSVC 2012 пока недостаточно XO- 
рош для этого 
188. 


Так или иначе, значение затем перезагружается в ХММ-регистр и происходит 
вычитание. 


Ѕ0В5р это «Subtract Scalar Ооибе-Ргесіѕіоп Floating-Point Values», т.е. операция 
производится над младшей 64-битной частью 128-битного ХММ-регистра. Ре- 
зультат возвращается в регистре ХММО. 


1.38.5. И снова пример генератора случайных чисел 


Вернемся к примеру «пример генератора случайных чисел» листинг.1.32.1. 


Если скомпилировать это в MSVC 2012, компилятор будет использовать SIMD- 
инструкции для FPU. 


Листинг 1.412: Оптимизирующий MSVC 2012 


_ real@3f800000 DD 03f800000r ; 1 


tv128 —4 
_tmp$ = -4 
?float_rand@@YAMXZ PROC 
push ecx 
call ?my_rand@@YAIXZ 
; ЕАХ=псевдослучайное значение 
апа еах, 8388607 ; 007ТТТТТН 
ог еах, 1065353216 ; 31800000Н 
; ЕАХ=псевдослучайное значение & 0x007fffff | 0х3#800000 
; сохранить его в локальном стеке: 
mov DWORD PTR _tmp$[esp+4], eax 
; перезагрузить его как число с плавающей точкой: 
movss хто, DWORD РТА _їтр$[е<р+4] 
; вычесть 1.0: 
5и655  хттб, DWORD РТВ _ геа\@31800000 
; переместить значение в STO поместив его во временную переменную... 
ПОМ55 DWORD РТВ +у128 [еѕр+4], хтто 
; ... и затем перезагрузив её в STO: 


fld DWORD PTR tv128[esp+4] 
pop ecx 
ret 0 


?float_rand@@YAMXZ ЕМОР 


У всех инструкций суффикс -55, это означает «Scalar Single». 


«Scalar» означает, что только одно значение хранится в регистре. 


189 


«біпдіе»° означает, что это тип float. 


188В качестве упражнения, вы можете попробовать переработать этот код, чтобы избавиться от 
использования локального стека. 
189Т.е., single precision. 
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1.38.6. Итог 


Во всех приведенных примерах, в ХММ-регистрах используется только млад- 
шая половина регистра, там хранится значение в формате IEEE 754. 


Собственно, все инструкции с суффиксом -SD («Scalar Ооибіе-Ргесіѕіоп») — это 
инструкции для работы с числами с плавающей запятой в формате ІЕЕЕ 754, 
хранящиеся в младшей 64-битной половине ХММ-регистра. 


Всё удобнее чем это было в FPU, видимо, сказывается тот факт, что расшире- 
ния SIMD развивались не так стихийно, как FPU в прошлом. 


Стековая модель регистров не используется. 


Если вы попробуете заменить в этих примерах double на float, то инструкции 
будут использоваться те же, только с суффиксом -SS («Scalar Ѕіпдіе-Ргесіѕіоп»), 
например, MOVSS, СОМІ55, Ар055, ит. д. 


«Scalar» означает, что $1МО-регистр будет хранить только одно значение, BME- 
сто нескольких. 


Инструкции, работающие с несколькими значениями в регистре одновремен- 
но, имеют «Packed» в названии. 


Нужно также обратить внимание, что 55Е2-инструкции работают с 64-битными 
числами (double) в формате IEEE 754, в то время как внутреннее представление 
в FPU — 80-битные числа. 


Поэтому ошибок округления (гоипа-ой error) в FPU может быть меньше чем в 
55Е2, как следствие, можно сказать, работа с FPU может давать более точные 
результаты вычислений. 


1.39. Кое-что специфичное для АКМ 


1.39.1. Знак номера (#) перед числом 


Компилятор Кей, IDA и об]аитр предваряет все числа знаком номера («#»), 
например: 


листинг.1.22.1. Но когда ССС 4.9 выдает результат на языке ассемблера, он 
так не делает, например: 


листинг.3.16. 
Так что листинги для ARM в этой книге в каком-то смысле перемешаны. 


Трудно сказать, как правильнее. Должно быть, всякий должен придерживать- 
ся тех правил, которые приняты в той среде, в которой он работает. 


1.39.2. Режимы адресации 


В АКМ64 возможна такая инструкция: 


ldr x0, [х29,24] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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И это означает прибавить 24 к значению в Х29 и загрузить значение по этому 
адресу. Обратите внимание что 24 внутри скобок. 


А если снаружи скобок, то весь смысл меняется: 


1аг м4, [х1],28 


Это означает, загрузить значение по адресу в X1, затем прибавить 28 к X1. 


АВМ позволяет прибавлять некоторую константу к адресу, с которого проис- 
ходит загрузка, либо вычитать. 


Причем, позволяет это делать до загрузки или после. 


Такого режима адресации в х86 нет, но он есть в некоторых других процессо- 
рах, даже на РОР-11. 


Существует байка, что режимы пре-инкремента, пост-инкремента, пре-декремента 


и пост-декремента адреса в РОР-11, были «виновны» в появлении таких кон- 
струкций языка Си (который разрабатывался на РОР-11) как *рїг++, *++риг, 
жрїг--, *--рїг. Кстати, это является трудно запоминаемой особенностью в Си. 


Дела обстоят так: 


термин в Си термин в АКМ выражение Си | как это работает 


затем инкремент 
указателя рїг 


Пост-инкремент | роѕі-іпаехеа addressing | *ptr++ использовать значение *рїг, 


затем декремент 
указателя ptr 


Пост-декремент | роѕї-іпаехеа addressing | *рїг- - использовать значение *рїг, 


Пре-инкремент рге-іпаехеа addressing *++ptr инкремент указателя ptr, 
затем использовать 
значение *ptr 


Пре-декремент рге-іпаехеа addressing *--рїг декремент указателя рїг, 
затем использовать 
значение *ptr 


Рге-паехтд маркируется как восклицательный знак в ассемблере ARM. Для 
примера, смотрите строку 2 в листинг.1.29. 


Деннис Ритчи (один из создателей ЯП Си) указывал, что, это, вероятно, приду- 
мал Кен Томпсон (еще один создатель Си), потому что подобная возможность 
процессора имелась еще в РОР-7 190, [Dennis М. Ritchie, Тре development of the 
С language, (1993)]!°!. Таким образом, компиляторы с ЯП Си на тот процессор, 
где это есть, могут использовать это. 


Всё это очень удобно для работы с массивами. 


190һ++р : //уигісһеу. сот/тіггогѕ/С/с тг роѕёіпсгетепі. txt 
191Также доступно здесь: pdf 
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1.39.3. Загрузка констант в регистр 
32-битный АКМ 


Как мы уже знаем, все инструкции имеют длину в 4 байта в режиме АВМ и 2 
байта в режиме Thumb. 


Как в таком случае записать в регистр 32-битное число, если его невозможно 
закодировать внутри одной инструкции? 


Попробуем: 
unsigned int f() 
{ 

return 0x12345678; 
}; 

Листинг 1.413: ССС 4.6.3 -ОЗ Режим АВМ 

f: 

1аг rO, .12 

рх tr 
12: 


.мога 305419896 ; 0х12345678 


Т.е., значение 0х12345678 просто записано в памяти отдельно и загружается, 
если нужно. 


Но можно обойтись и без дополнительного обращения к памяти. 


Листинг 1.414: ССС 4.6.3 -ОЗ -тагсһ=агту7-а (Режим ARM) 


movw rO, #22136 ; 0х5678 
movt rO, #4660 ; 0х1234 
рх tr 


Видно, что число загружается в регистр по частям, B начале младшая часть 
(при помощи инструкции МОҮМ), затем старшая (при помощи МО\Т). 


Следовательно, нужно 2 инструкции в режиме АВМ, чтобы записать 32-битное 
число в регистр. 


Это не так уж и страшно, потому что в реальном коде не так уж и много кон- 
стант (кроме Ои 1). 


Значит ли это, что это исполняется медленнее чем одна инструкция, как две 
инструкции? 


Вряд ли, наверняка современные процессоры АВМ наверняка умеют распозна- 
вать такие последовательности и исполнять их быстро. 


A IDA легко распознает подобные паттерны в коде и дизассемблирует эту функ- 
цию как: 


MOV RO, 0x12345678 
BX LR 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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АКМ64 


uint64 t f() 
{ 


}; 


return 0х12345678АВСрЕЕО1; 


Листинг 1.415: ССС 4.9.1 -ОЗ 


тоу x0, 61185 ; Oxef01 
movk x0, Oxabcd, 151 16 
movk x0, 0x5678, lsl 32 
movk x0, 0x1234, lsl 48 
ret 


MOVK означает «MOV Keep», T.e. она записывает 16-битное значение в регистр, 
не трогая при этом остальные биты. Суффикс 151 сдвигает значение в каждом 
случае влево на 16, 32 и 48 бит. Сдвиг происходит перед загрузкой. Таким 
образом, нужно 4 инструкции, чтобы записать в регистр 64-битное значение. 


Записать числа с плавающей точкой в регистр 
Некоторые числа можно записывать в ОЭ-регистр при помощи только одной NH- 


струкции. 
Например: 


double а() 
{ 


}; 


return 1.5; 


Листинг 1.416: ССС 4.9.1 -03 + орјаитр 


0000000000000000 <a>: 
0: 1е6#1000 том 00, #1.500000000000000000е+000 
4: d65f03c0 ret 


Число 1.5 действительно было закодировано в 32-битной инструкции. 


Но как? В АВМ64, инструкцию ЕМО\ есть 8 бит для кодирования некоторых Yn- 
сел с плавающей запятой. 


В [ААМ Architecture Reference Manual, ARMv8, for ARMv8-A architecture profile, 
(2013)]19?алгоритм называется VFPExpandImn(). 


Это также называется тїпїйоаї!?З. Мы можем попробовать разные: 30.0 и 31.0 
компилятору удается закодировать, а 32.0 уже нет, для него приходится выде- 
лять 8 байт в памяти и записать его там в формате ІЕЕЕ 754: 


19?Также доступно здесь: һїїр://уиг1сһеу.сот/т1ггог5/АВМу8-А_Агсһ1Ттестиге_ВеТегепсе_ 
Мапиа1_ (1ѕѕ0џе А.а) .ра? 
193wikipedia 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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double а() 
{ 

return 32; 
}; 

Листинг 1.417: ССС 4.9.1 -ОЗ 

а: 

1аг 90, .1С0 

геї 
.LCO: 

.word 0 


.мога 1077936128 


1.39.4. Релоки в ARM64 


Как известно, в АКМ64 инструкции 4-байтные, так что записать длинное число 
в регистр одной инструкцией нельзя. 


Тем не менее, файл может быть загружен по произвольному адресу в памяти, 
для этого релоки и нужны. 


Больше о них (в связи с Win32 РЕ): 6.5.2 (стр. 975). 


В АКМ64 принят следующий метод: адрес формируется при помощи пары nH- 
струкций: АБВР и ADD. 


Первая загружает в регистр адрес 4КВ-страницы, а вторая прибавляет оста- 
ток. 


Скомпилируем пример из «Hello, world!» (листинг.1.11) в ССС (Linaro) 4.9 под 
win32: 


Листинг 1.418: GCC (Linaro) 4.9 и objdump объектного файла 


. .>aarch64-linux-gnu-gcc.exe hw.c -c 


. .>aarch64-linux-gnu-objdump.exe -d hw.o 


0000000000000000 <main>: 


0: a9bf7bfd stp x29, x30, [5р,#-16]! 
4: 910003fd mov x29, sp 

8: 90000000 adrp x0, 0 <main> 

Çi 91000000 add x0, x0, #0x0 

10: 94000000 bl 09 <printf> 

14: 52800000 mov w0, #0x0 // #0 

18: a8c17bfd 1ар x29, x30, [5р],#16 
1с: d65f03c0 ret 


. .>aarch64-linux-gnu-objdump.exe -r hw.o 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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RELOCATION RECORDS РОВ [.text]: 
OFFSET TYPE VALUE 
0000000000000008 В AARCH64 ADR PREL Рб HI21 .rodata 
000000000000000с В AARCH64 ADD ABS L012 NC .rodata 
0000000000000010 В AARCH64 CALL26 printf 


Итак, в этом объектом файле три релока. 


• Самый первый берет адрес страницы, отсекает младшие 12 бит и записы- 
вает оставшиеся старшие 21 в битовые поля инструкции ADRP. Это потому 
что младшие 12 бит кодировать не нужно, и в АрВР выделено место толь- 
ко для 21 бит. 


Второй —- 12 бит адреса, относительного от начала страницы, в поля ин- 
струкции ADD. 


Последний, 26-битный, накладывается на инструкцию по адресу 0x10, где 
переход на функцию printf(). 


Все адреса инструкций в АКМ64 (да ив ARM в режиме ARM) имеют нули в 
двух младших битах (потому что все инструкции имеют размер в 4 байта), 
так что нужно кодировать только старшие 26 битиз 28-битного адресного 
пространства (+128МВ). 


В слинкованном исполняемом файле релоков в этих местах нет: потому что там 
уже точно известно, где будет находиться строка «Не|о!», и в какой странице, 
а также известен адрес функции puts(). 


И поэтому там, в инструкциях АБВР, ADD и ВЕ, уже проставлены нужные значе- 
ния (их проставил линкер во время компоновки): 


Листинг 1.419: objdump исполняемого файла 


0000000000400590 <таіп>: 


400590: a9bf7bfd stp x29, x30, [5р,#-16]! 
400594: 910003fd mov x29, sp 

400598: 90000000 adrp x0, 400000 < init-0x3b8> 
40059c: 91192000 add x0, x0, #0x648 

4005a0: 97ffffa0 bl 400420 <puts@plt> 
4005a4: 52800000 mov м9, #0x0 // #0 

4005a8: a8c17bfd 1ар x29, x30, [5р],#16 
4005ac: d65f03c0 ret 


Contents of section .rodata: 
400640 01000200 00000000 48656c6c 6f210000 ........ Hello!.. 


В качестве примера, попробуем дизассемблировать инструкцию BL вручную. 
0x97ffffa0 это 0610010111111111111111111110100000. В соответствии с [ААМ Architecture 
Reference Manual, АВМ\8, for АВМУВ-А architecture profile, (2013)С5.6.26], ітт26 
это последние 26 бит: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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їтїт26 = 0611111111111111111110100000. Это ОхЗЕҒҒҒАӨ, но MSB это 1, так что число 
отрицательное, мы можем вручную его конвертировать в удобный для нас вид. 
По правилам изменения знака, просто инвертируем все биты: (061011111=0х5Е) 
и прибавляем 1 (0х57+1=0х60). Так что число в знаковом виде: -0х60. Умножим 
-0х60 на 4 (потому что адрес записанный в опкоде разделен на 4): это -0х180. 
Теперь вычисляем адрес назначения: 0х4005аб + (-0х180) = 0х400420 (пожа- 
луйста заметьте: мы берем адрес инструкции ВЕ, а не текущее значение РС, 
которое может быть другим!). Так что адрес в итоге 0х400420. 


Больше о релоках связанных с ARM64: [ELF for the ARM 64-bit Architecture (ААгсћб4), 
(2013)]1°4. 


1.40. Кое-что специфичное для MIPS 


1.40.1. Загрузка 32-битной константы в регистр 


unsigned int #() 


{ 
}; 


return 0х12345678; 


В MIPS, так же как и в АВМ, все инструкции имеют размер 32 бита, так что 
невозможно закодировать 32-битную константу в инструкцию. 


Так что приходится делать это используя по крайней мере две инструкции: 
первая загружает старшую часть 32-битного числа и вторая применяет опера- 
цию «ИЛИ», эффект от которой в том, что она просто выставляет младшие 16 
бит целевого регистра: 


Листинг 1.420: ССС 4.4.5 -ОЗ (вывод на ассемблере) 


11 $2,305397760 # 0х12340000 
ј $31 
ori $2,$2,0x5678 ; branch delay slot 


IDA знает отаких часто встречающихся последовательностях, так что для удоб- 
ства, она показывает последнюю инструкцию ORI как псевдоинструкцию LI, 
которая якобы загружает полное 32-битное значение в регистр $\0. 


Листинг 1.421: ССС 4.4.5 -ОЗ (IDA) 


lui $у0, 0x1234 
jr $ra 
li $\0, 0x12345678 ; branch delay slot 


В выводе на ассемблере от ССС есть псевдоинструкция LI, но на самом деле, 
там ШТ («Load Upper Immediate»), загружающая 16-битное значение в стар- 
шую часть регистра. 


Посмотрим в выводе оБ/аитр: 


194Также доступно здесь: һ+їр://іпҒосепїег. агт. сот/һе1р/іоріс/сот. агт. дос. іһі0Ө56Ы/ 
ІНІОО56В аае1#64. ра? 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Листинг 1.422: објаитр 


00000000 <?>: 


0: 3с021234 lui v0, 0х1234 
4: 03e00008 jr ra 
8: 34425678 ori v0, v0, 0х5678 


Загрузка 32-битной глобальной переменной в регистр 


unsigned int global_var=0x12345678; 


unsigned int f2() 
{ 


}; 


return global_var; 


Тут немного иначе: LUI загружает старшие 16 бит из global_var в $2 (или $\/0) 
и затем ІМ загружает младшие 16 бит суммируя их с содержимым $2: 


Листинг 1.423: ССС 4.4.5 -ОЗ (вывод на ассемблере) 


12: 
lui $2,%hi(global_var) 
1м $2,%10(д1ора1 хаг) ($2) 
ј $31 
пор ; branch delay slot 
global_var: 


.word 305419896 


IDA знает о часто применяемой паре инструкций LUI/LW, так что она объединя- 
ет их в одну инструкцию LW: 


Листинг 1.424: ССС 4.4.5 -ОЗ (IDA) 


_ 12: 
1м $у0, д1ора1 маг 
jr $ra 
or $at, $zero ; branch delay slot 
‚дата 
.globl д1оБа1 маг 
д1ора1 хаг: .мога 0х12345678 # DATA XREF: f2 


Вывод objdump почти такой же, как ассемблерный вывод GCC. Посмотрим TaK- 
же релоки в объектном файле: 


Листинг 1.425: објаитр 
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objdump -D #і1епате.о 


0000000c <f2>: 


Cå 3c020000 lui v0, 0x0 

10: 8c420000 1м \0,0(\0) 

14: 03е00008 jr ra 

18: 00200825 move at,at ; branch delay slot 
1с: 00200825 move at,at 


Disassembly of section .data: 


00000000 <global_var>: 
0: 12345678 beq s1,s4,159e4 <f2+0x159d8> 


objdump -r filename.o 


RELOCATION RECORDS FOR [.text]: 


OFFSET TYPE VALUE 
0000000c В MIPS_HI16 global_var 
00000010 В MIPS_L016 global_var 


Можем увидеть, что адрес global_var будет записываться прямо в инструкции 
LUI и LW во время загрузки исполняемого файла: старшая 16-битная часть 
дІора! маг записывается в первую инструкцию (ШІ), младшая 16-битная часть 
— во вторую (LW). 


1.40.2. Книги и прочие материалы о MIPS 
Dominic Sweetman, See MIPS Вип, Second Edition, (2010). 
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Глава 2 


Важные фундаментальные 
вещи 


В Mathematical Аесіреѕ:есть некоторые важные замечания о булевой алгебре 
и представлении знаковых чисел. 


2.1. Целочисленные типы данных 


Целочисленный тип данных (integral) это тип для значения, которое может 
быть сконвертировано в число. Это числа, перечисления (епитегайоп5), буле- 
вые типы. 


2.1.1. Бит 


Очевидное использования бит это булевые значения: 0 для ложно/Ра/5е и 1 для 
Кие/истинно. 


Набор булевых значений можно упаковать в слово: в 32-битном слове будет 32 
булевых значения, ит. д. Этот метод также называется bitmap или bitfield. 


Но есть очевидные накладки: тасовка бит, изоляция оных, ит. д. В то время как 
использование слова (или типа int) для булевого значения это не экономично, 
но очень эффективно. 


В среде Си/Си++, 0 это ѓа/ѕе/ложно и любое ненулевое значение это ігие/истин- 
но. Например: 


if (1234) 

printf ("это всегда будет исполнятся\п"); 
е1ѕе 

printf ("а это никогда\п"); 


lhttps://math. recipes 
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Это популярный способ перечислить все символы в Си-строке: 


char жіпри+=. .. ; 


ми Те (жіприї) // исполнять тело, если в *іприї character не ноль 


{ 
// делать что-то с *1приї 
іприї++; 


}; 


2.1.2. Ниббл АКА nibble АКА nybble 


АКА полубайт, тетрада. Равняется 4-м битам. 


Все эти термины в ходу и сегодня. 


Двоично-десятичный код (BCD?) 


4-битные нибблы использовались в 4-битных процессорах, например, в леген- 
дарном Intel 4004 (который использовался в калькуляторах). 


Интересно знать, что числа там представлялись в виде Бтагу-содеа decimal 
(BCD). Десятичный 0 кодировался как 060000, десятичная 9 как 061001, а осталь- 
ные значения не использовались. Десятичное 1234 представлялось как 0х1234. 
Конечно, этот способ не очень экономичный. 


Тем не менее, он имеет одно преимущество: очень легко конвертировать зна- 
чения из десятичного в ВСО-запакованное и назад. ВСО-числа можно склады- 
вать, вычитать, и т. д., но нужна дополнительная корректировка. В x86 CPUs 
для этого есть редкие инструкции: ААА/РАА (adjust after addition: корректиров- 
ка после сложения), AAS/DAS (adjust after subtraction: корректировка после Bbl- 
читания), ААМ (after multiplication: после умножения), AAD (after division: после 
деления). 


Необходимость поддерживать ВСО-числа в СРО это причина, почему существу- 
ют флаги Ра! саггу Над (флаг полупереноса) (в 8080/780) и auxiliary flag (вспо- 
могательный флаг) (АЕ в х86): это флаг переноса, генерируемый после обра- 
ботки младших 4-х бит. Флаг затем используется корректирующими инструк- 
циями. 


Тот факт, что числа легко конвертировать, привел к популярности этой книги: 
[Peter Abel, IBM РС assembly language апа programming (1987)]. Но кроме этой 
книги, автор этих заметок, никогда не видел ВСО-числа на практике, исключая 
magic numbers (5.6.1 (стр. 912)), как, например, дата чьего-то дня рождения, за- 
кодированная как 0х19791011 — это действительно запакованное ВСО-число. 


На удивление, автор нашел использование чисел закодированных в BCD в ПО 
SAP: https ://yurichev.com/blog/SAP/. Некоторые числа, включая цены, коди- 
руются в виде ВСР в базе. Вероятно, они использовали это для совместимости 
с каким-то древним ПО или железом? 


2Віпагу-Соаеа Decimal 
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Инструкции для BCD в х86 часто использовались для других целей, использо- 
вались их недокументированные особенности, например: 


стр аї, 10 
sbb al,69h 
das 


Этот запутанный код конвертирует число в пределах 0..15 B А5СІІ-символ '0’..'9', 
'А’..’Е”. 


280 


280 был клоном 8-битного Intel 8080 СРО, и из-за экономии места, он имеет 4- 
битный АЛУ, т.е., каждая операция над двумя 8-битными числами происходит 
за два шага. Один из побочных эффектов в том, что легко генерировать half- 
саггу Пад (флаг полупереноса). 


2.1.3. Байт 


Байт, в первую очередь, применяется для хранения символов. 8-битные байты 
не всегда были популярны, как сейчас. Перфоленты для телетайпов имели 5 
и 6 возможных дырок, это 5 или б бит на байт. 


Чтобы подчеркнуть тот факт, что в байте 8 бит, байт иногда называется окте- 
том (octet): по крайней мере fetchmail использует эту терминологию. 


9-битные байты существовали на 36-битных архитектурах: 4 9-битных байта 
помещались в одно слово. Вероятно из-за этого, стандарты Си/Си+ +говорят 
что в сһаг должно быть как минимум 8 бит, но может быть и больше. 


Например, в ранней документации к языку Си?, можно найти такое: 


char опе byte character (РОР-11, ТВМЗ60: 8 bits; H6070: 9 bits) 


Под H6070, вероятно, подразумевается Honeywell 6070, с 36-битными словами. 


Стандартная АЗСП-таблица 


7-битная АЗС!-таблица стандартная, которая содержит только 128 возмож- 
ных символов. Раннее ПО для передачи е-мейлов работало только с 7-битными 
АЅСІІ-символами, так что понадобился стандарт М!МЕ“ для кодирования сооб- 
щений в нелатинских системах письменности. 7-битные ASCII коды дополня- 
лись битом чётности, давая в итоге 8 бит. 


Data Encryption Standard (DES?) имеет 56-битный ключ, это 8 7-битных байт, 
оставляя место для бита чётности для каждого символа. 


3https://yurichev.com/mirrors/C/bwk-tutor.html 
4Multipurpose Internet Mail Extensions 
5Data Encryption Standard 
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Заучивать на память всю таблицу ASCII незачем, но можно запомнить интер- 
валы. [0..0х1Е] это управляющие символы (непечатные). [0х20..0х7Е] это пе- 
чатные. Коды начиная с 0х80 обычно используются для нелатинских систем 
письменности и/или псевдографики. 


Некоторые важные коды, которые легко запомнить: 0 (конец Си-строки, '\0' 
в С/С++); ОХА или 10 (line feed (перевод строки), '\п' в С/С++); ОхО или 13 
(carriage return (возврат каретки), '\г' в С/С++). 


0х20 (пробел) также часто запоминается. 


8-битные процессоры 


х86 имеют возможность работать с байтами на уровне регистров (потому что 
они наследники 8-битного процессора 8080), а RISC как ARM и MIPS — нет. 


2.1.4. Wide char 


Это попытка поддерживать многоязычную среду расширяя байт до 16-и бит. 
Самый известный пример это ядро Windows МТ и мт32-функции с суффиксом 
И/. Вот почему если закодировать обычный текст на английском, то каждый 
латинский символ в текстовой строке будет перемежаться с нулевым байтом. 
Эта кодировка также называется ОС5-2 или ОТЕ-16 


Обычно, исћаг Ё это синоним 16-битного типа данных short. 


2.1.5. Знаковые целочисленные и беззнаковые 


Некоторые люди могут удивляться, почему беззнаковые типы данных вообще 
существуют, т.к., любое беззнаковое число можно представить как знаковое. 
Да, но отсутствие бита знака в значении расширяет интервал в два раза. Сле- 
довательно, знаковый байт имеет интервал -128..127, а беззнаковый: 0..255. 
Еще одно преимущество беззнаковых типов данных это самодокументация: вы 
определяете переменную, которая не может принимать отрицательные значе- 
ния. 


Беззнаковые типы данных отсутствуют в Java, за что её критикуют. Трудно 
реализовать криптографические алгоритмы используя булевы операции над 
знаковыми типами. 


Значения вроде ОхЕЕЕЕЕЕЕЕ (-1) часто используются, в основном, как коды оши- 
бок. 


2.1.6. Слово (мога) 


Слово слово это неоднозначный термин, и обычно означает тип данных, поме- 
щающийся в СРВ. Байты практичны для символов, но непрактичны для ариф- 
метических расчетов. 
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Так что, многие процессоры имеют СРВ шириной 16, 32 или 64 бит. Даже 8- 
битные СРО как 8080 и 280 предлагают работать с парами 8-битными реги- 
стров, каждая пара формирует 16-битный псевдорегистр (ВС, DE, НЕ, ит. д.). 
280 имеет некоторые возможности для работы с парами регистров, и это, в 
каком-то смысле, эмуляция 16-битного CPU. 


В общем, если в рекламе СРО говорят о нем как о “п-битном процессоре”, это 
обычно означает, что он имеет п-битные СРВ. 


Было время, когда в рекламе жестких дисков и модулей ВАМ писали, что они 
имеют п килослов вместо b килобайт/мегабайт. 


Например, Apollo Guidance Computer имел 2048 слов ВАМ. Это был 16-битный 
компьютер, так что там было 4096 байт ВАМ. 


ТХ-0 имел 64К 18-битных слов памяти на магнитных сердечниках, т.е., 64 ки- 
лослов. 


РЕСЅҮЅТЕМ-2060 мог иметь вплоть до 4096 килослов твердотельной памяти 
(т.е., жесткие диски, ленты, и т. д.). Это был 36-битный компьютер, так что 
это 18432 килобайта или 18 мегабайт. 


В сущности, зачем нужны байты, если есть слова? Если только для работы С 
текстовыми строками. Почти во всех остальных случаях можно использовать 
слова. 


int в Си/Си+ +почти всегда связан со словом. (Кроме архитектуры AMD64, где 
int остался 32-битным, вероятно, ради лучшей обратной совместимости.) 


int 16-битный на РОР-11 и старых компьютерах с MS-DOS. int 32-битный на МАХ, 
и на х86 начиная с 80386, ит. д. 


И даже более того, если в программе на Си/Си++ определение типа для ne- 
ременной отсутствует, то по умолчанию подразумевается int. Вероятно, это 
наследие языка программирования B°. 


СРК это обычно самый быстрый контейнер для переменной, быстрее чем запа- 
кованный бит, и иногда даже быстрее запакованного байта (потому что нет 
нужды изолировать единственный бит/байт из СРВ). Даже если вы используе- 
те его как контейнер для счетчика в цикле, в интервале 0..99. 


В языке ассемблера, мога всё еще 16-битный для х86, потому что так было во 
времена 16-битного 8086. Double word 32-битный, quad word 64-битный. Вот 
почему 16-битные слова определяются при помощи DW в ассемблере на x86, 
для 32-битных используется рр и для 64-битных — 00. 


Word 32-битный для ARM, MIPS, и т. g., 16-битные типы данных называются 
здесь half-word (полуслово). Следовательно, double word на 32-битном RISC это 
64-битный тип данных. 


6http://yurichev.com/blog/typeless/ 
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В GDB такая терминология: halfword для 16-битных, мога для 32-битных и giant 
мога для 64-битных. 


В 16-битной среде Си/Си++ на РОР-11 и MS-DOS был тип long шириной в 32 
бита, вероятно, они имели ввиду long word или long int? 


В 32-битных средах Си/Си++ имеется тип long long для типов данных шириной 
64 бита. 


Теперь вы видите, почему термин слово такой неоднозначный. 


Нужно ли использовать int? 


Некоторые люди говорят о том, что тип int лучше не использовать вообще, 
потому что его неоднозначность приводит к ошибкам. Например, хорошо из- 
вестная библиотека /2ћи# использует тип int в одном месте, и всё работает 
нормально на 16-битной архитектуре. Но если она портируется на архитекту- 
ру с 32-битным int, она может падать: http://yurichev.com/blog/lzhuf/. 


Более однозначные типы определены в файле stdint.h: ит 8 ё, ит 1 6_Е, uint32_t, 
uint64_t, ит. д. 


Некоторые люди, как Дональд Э. Кнут, предлагают” более звучные слова для 
этих типов: 

byte/wyde/tetrabyte/tetra/octabyte/octa. Но эти имена менее популярны чем AC- 
ные термины с включением символа и (ипѕідпеа) и числом прямо в названии 
типа. 


Компьютеры ориентированные на слово 


Не смотря на неоднозначность термина слово, современные компьютеры всё 
еще ориентированы на слово: ВАМ и все уровни кэш-памяти организованы по 
словам а не байтам. Впрочем, в рекламе пишут о размере именно в байтах. 


Доступ по адресу в памяти и кэш-памяти выровненный по границе слова зача- 
стую быстрее, чем невыровненный. 


При разработке структур данных, от которых ждут скорости и эффективности, 
всегда нужно учитывать длину слова CPU, на котором это будет исполняться. 
Иногда компилятор делает это за программиста, иногда нет. 


2.1.7. Регистр адреса 


Для тех, кто был воспитан на 32-битных и/или 64-битных х86, и/или ВІЅС 90- 
х годов, как ARM, MIPS, PowerPC, считается обычным, что шина адреса имеет 
такую же ширину как СРК или слово. Тем не менее, на других архитектурах, 
ширина шины адреса может быть другой. 


8-битный 280 может адресовать 2'б байт, используя пары 8-битных регистров, 
или специальные регистры (IX, IY). Регистры SP и РС также 16-битные. 


7һїїр: //ммм- с$ - аси Ху . зфапфога .еди/-ипо/пем$98 . пет. 
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Суперкомпьютер Сгау-1 имел 64-битные GPR, но 24-битные регистры для aape- 
сов, так что он мог адресовать 22“ (16 мегаслов или 128 мегабайт). Память в 
1970-ые была очень дорогой, и типичный Сгау-1 имел 1048576 (0х100000) слов 
ОЗУ или 8МВ. Тогда зачем выделять целый 64-битный регистр для адреса или 
указателя? 


Процессоры 8086/8088 имели крайне странную схему адресации: значения двух 
16-битных регистров суммировались в очень странной манере, производя 20- 
битный адрес. Вероятно, то было что-то вроде игрушечной виртуализации (10.7 
(стр. 1254))? 8086 мог исполнять несколько программ (хотя и не одновремен- 
но). 


Ранний ААМ1 имеет интересный артефакт: 


Another interesting thing about {Ве register file is the РС register is 
missing a few bits. Since the ARM1 uses 26-bit addresses, the top 6 bits 
are not used. Because all instructions are aligned on a 32-bit boundary, 
the bottom two address bits in the PC are always zero. These 8 bits are 
not only unused, they are omitted from the chip entirely. 


( http://www. righto.com/2015/12/reverse-engineering-arml-ancestor-of.html 


) 


Так что, значение где в двух младших битах что-то есть, невозможно записать 
в регистр РС просто физически. Также невозможно установить любой бит в 
старших 6 битах РС. 


Архитектура х86-64 имеет 64-битные виртуальные указателя/адреса, но внут- 
ри адресная шина 48-битная (этого достаточно для адресации 256ТВ памяти). 


2.1.8. Числа 


Для чего используются числа? 


Когда вы видите как некое число/числа меняются в регистре процесса, вы мо- 
жете заинтересоваться, что это число значит. Это довольно важное качество 
реверс-инжинира, определять возможный тип данных по набору изменяемых 
чисел. 


Булевы значения 
Если число меняется от 0 до 1 и назад, скорее всего, это значение имеет буле- 
вый тип данных. 


Счетчик циклов, индекс массива 


Переменная увеличивающаяся с 0, как: 0, 1, 2, 3...— большая вероятность что 
это счетчик цикла и/или индекс массива. 
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Знаковые числа 


Если вы видите переменную, которая содержит очень маленькие числа, и ино- 
гда очень большие, как 0, 1, 2, 3, и OxFFFFFFFF, ОхЕЕЕЕЕЕЕЕ, ОхЕЕЕЕЕЕЕР, есть 
шанс что это знаковая переменная в виде дополнительного кода, и последние 
три числа это -1, -2, -3. 


32-битные числа 


Существуют настолько большие числа, что для них даже существует специ- 
альная нотация (Knuth’'s ир-аггом notation). Эти числа настолько большие, что 
им нет практического применения в инженерии, науке и математике. 


Почти всем инженерам и ученым зачастую достаточно чисел в формате ІЕЕЕ 
754 в двойной точности, где максимальное значение близко к 1.8. 10308. (Для 
сравнения, количество атомов в наблюдаемой Вселенной оценивается от 4.107? 
до 4. 1081.) 


А в практическом программировании, верхний предел значительно ниже. Так 
было в эпоху MS-DOS: 16-битные int использовались почти везде (индексы MAC- 
сивов, счетчики циклов), в то время как 32-битные /опд использовались редко. 


Во время появления х86-64, было решено оставить тип іле 32-битным, вероятно, 
потому что необходимость использования 64-битного іп еще меньше. 


Я бы сказал, что 16-битные числа в интервале 0..65535, вероятно, наиболее 
используемые числа в программировании вообще. 


Учитывая всё это, если вы видите необычно большое 32-битное значение вроде 
0х87654321, большая вероятность, что это может быть: 


• это всё еще может быть 16-битное число, но знаковое, между ОхЕЕЕЕ8000 
(-32768) и ОХЕЕЕЕЕЕЕЕ (-1). 


адрес ячейки памяти (можно проверить используя в карте памяти в от- 
ладчике); 


• запакованные байты (можно проверить визуально); 

• битовые флаги; 

• что-то связанное с (любительской) криптографией; 

• магическое число (5.6.1 (стр. 912)); 

• число с плавающей точкой в формате ІЕЕЕ 754 (тоже легко проверить). 


Та же история и для 64-битных значений. 
...так что, 16-битного int достаточно почти для всего? 


Интересно заметить: в [Michael Аргаѕћ, Graphics Programming Black Book, 1997 
глава 13] мы можем найти множество случаев, когда 16-битных переменных 
просто достаточно. В то же время, Майкл Абраш жалеет о том что в процес- 
сорах 80386 и 80486 маловато доступных регистров, так что он предлагает 
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хранить два 16-битных значения в одном 32-битном регистре и затем прокру- 
чивать его используя инструкцию ROR гед, 16 (на 80386 и позже) (ROL гед, 
16 тоже будет работать) или В$МАР (на 80486 и позже). 


Это нам напоминает как в 780 был набор альтернативных регистров (с апо- 
строфом в конце), на которые CPU мог переключаться (и затем переключаться 
назад) используя инструкцию ЕХХ. 


Размер буфера 


Когда программисту нужно обознать размер некоторого буфера, обычно ис- 
пользуются значения вида 2? (512 байт, 1024, ит. д.). Значения вида 2° легко 
опознать (1.28.5 (стр. 412)) в десятичной, шестнадцатеричной и двоичной си- 
стеме. 


Но надо сказать что программисты также и люди со своей десятичной культу- 
рой. И иногда, в среде DBMS, размер текстовых полей в БД часто выбирается 
в виде числа 10°, как 100, 200. Они думают что-то вроде «Окей, 100 достаточно, 
погодите, лучше пусть будет 200». И они правы, конечно. 


Максимальный размер типа данных VARCHAR2 в Oracle RDBMS это 4000 симво- 
лов, ане 4096. 


В этом нет ничего плохого, это просто еще одно место, где можно встретить 
числа вида 10°. 


Адрес 


Всегда хорошая идея это держать в памяти примерную карту памяти процесса, 
который вы отлаживаете. Например, многие исполняемые файлы в міп32 Hayn- 
наются с 0х00401000, так что адрес вроде 0х00451230 скорее всего находится 
в секции с исполняемым кодом. Вы увидите адреса вроде этих в регистре ЕТР. 


Стек обычно расположен где-то ниже. 


Многие отладчики могут показывать карту памяти отлаживаемого процесса, 
например: 1.12.3 (стр. 107). 


Если значение увеличивается с шагом 4 на 32-битной архитектуре или с ша- 
гом 8 на 64-битной, это вероятно сдвигающийся адрес некоторых элементов 
массива. 


Важно знать что win32 не использует адреса ниже 0х10000, так что если вы Bn- 
дите какое-то число ниже этой константы, это не может быть адресом (см.также: 
һ1рѕ : //тѕап . тісгоѕо?+ . сот/еп-иѕ/1іргагу/тѕ810627.аѕрх). 


Так или иначе, многие отладчики могут показывать, является ли значение в ре- 
гистре адресом чего-либо. OllyDbg также может показывать А5СІІ-строку, если 
значение является её адресом. 
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Битовые поля 


Если вы видите как в значении один (или больше) бит меняются от времени к 
времени, как 0хАВСО1234 > ОхАВСО1434 и назад, это вероятно битовое поле 
(или bitmap). 


Запакованные байты 


Когда 5&стр() или тетстр() копирует буфер, они загружают/записывают 4 
(или 8) байт одновременно, так что если строка содержит «4321» и будет ско- 
пирована в другое место, в какой-то момент вы увидите значение 0х31323334 
в каком-либо регистре. Это 4 запакованных байта в одном 32-битном значении. 


2.1.9. АМО/ОВ/ХОВ как МОМ 


Инструкция ОВ гед, ©хЕЕЕЕЕЕЕЕ выставляет все биты в 1, следовательно, не 
важно что было в регистре перед этим, его значение будет выставлено в -1. 
Инструкция OR гед, -1 короче, чем МОУ гед, -1, так что MSVC использует OR 
вместо последней, например: 3.16.1 (стр. 669). 


Точно также, AND гед, © всегда сбрасывает все биты, следовательно, работа- 
ет как MOV гед, Ө. 


ХОА гед, гед, не важно что было в регистре перед этим, сбрасывает все биты, 
и также работает как МО\ гед, 0. 


2.2. Епаіаппеѕѕ (порядок байт) 
Епаіаппеѕѕ (порядок байт) это способ представления чисел в памяти. 


2.2.1. Від-епаіап (от старшего к младшему) 


Число 0х12345678 представляется в памяти так: 


адрес в памяти | значение байта 
+0 0х12 
+1 0х34 
+2 0х56 
+3 0х78 


СРО с таким порядком включают в себя Motorola 68k, ІВМ POWER. 


2.2.2. Little-endian (от младшего к старшему) 


Число 0х12345678 представляется в памяти так: 
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адрес в памяти | значение байта 
+0 0х78 
+1 0х56 
+2 0х34 
+3 0х12 


СРО с таким порядком байт включают в себя Intel x86. Один важный пример 
использования little-endian в этой книге: 1.35 (стр. 519). 
2.2.3. Пример 


Возьмем big-endian Linux для MIPS заинсталлированный в QEMU 9. 


И скомпилируем этот простой пример: 


#include <stdio.h> 


int main() 
{ 
int v; 
v=123; 
printf ("%02X %02X %02X %02X\n", 
*x(char*)&v, 
*(((сһаг*)&у)+1), 
*(((сһаг*)&у)+2), 
*(((сһаг*)&у)+3)); 
}; 


И запустим его: 


root@debian-mips:~# ./а.ои* 
00 00 00 7В 


Это оно и есть. 0х7В это 123 в десятичном виде. В ШЧе-еп!ап-архитектуре, 
7В это первый байт (вы можете это проверить в х86 или х86-64), но здесь он 
последний, потому что старший байт идет первым. 


Вот почему имеются разные дистрибутивы Linux для MIPS («тірѕ» (big-endian) и 
«mipsel» (ИЧе-епЧ!ап)). Программа скомпилированная для одного соглашения 
об епаіаппеѕ, не сможет работать в OS использующей другое соглашение. 


Еще один пример связанный с big-endian в MIPS в этой книге: 1.30.4 (стр. 468). 


2.2.4. Ві-епаіап (переключаемый порядок) 


СРО поддерживающие оба порядка, и его можно переключать, включают в се- 
бя ARM, PowerPC, SPARC, MIPS, 1А6410, ит. д. 


9 Доступен для скачивания здесь: һїїр<://реор1е.аеб1ап.ого/-аиге132/дети/т1р5/ 
10 пе! Architecture 64 (Itanium) 
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2.2.5. Конвертирование 


Инструкция В$МАР может использоваться для конвертирования. 


Сетевые пакеты TCP/IP используют соглашение big-endian, вот почему програм- 
ма, работающая на little-endian архитектуре должна конвертировать значения. 


Обычно, используются функции htonl() и htons(). 


Порядок байт big-endian в среде TCP/IP также называется, «network byte order», 
а порядок байт на компьютере «host byte order». На архитектуре Intel x86, и 
других little-endian архитектурах, «host byte order» это little-endian, а вот на ІВМ 
POWER это может быть big-endian, так что на последней, htonl() и htons() не 
меняют порядок байт. 


2.3. Память 


Есть три основных типа памяти: 


• Глобальная память АКА «static memory allocation». Нет нужды явно Bbl- 
делять, выделение происходит просто при объявлении переменных/мас- 
сивов глобально. Это глобальные переменные расположенные в сегмен- 
те данных или констант. Доступны глобально (поэтому считаются анти- 
паттерном). Не удобны для буферов/массивов, потому что должны иметь 
фиксированный размер. Переполнения буфера, случающиеся здесь, обыч- 
но перезаписывают переменные или буферы расположенные рядом в па- 
мяти. Пример в этой книге: 1.12.3 (стр. 103). 


e Стек АКА «allocate оп stack», «выделить память в/на стеке». Выделение 
происходит просто при объявлении переменных/массивов локально в функ- 
ции.Обычно это локальные для функции переменные. Иногда эти локаль- 
ные переменные также доступны и для нисходящих функций (саїее-функциям, 
если функция-саег передает указатель на переменную в функцию-са!ее). 
Выделение и освобождение очень быстрое, достаточно просто сдвига SP. 


Но также не удобно для буферов/массивов, потому что размер буфера 
фиксирован, если только не используется а11оса() (1.9.2 (стр. 48)) (или 
массив с переменной длиной). 


Переполнение буфера обычно перезаписывает важные структуры стека: 
1.26.2 (стр. 347). 


• Куча (heap) АКА «dynamic memory allocation», «выделить память в куче». 
Выделение происходит при помощи вызова 
malloc()/free() или пем/де\ете в Си++. 


Самый удобный метод: размер блока может быть задан во время испол- 
нения. Изменение размера возможно (при помощи realloc()), но может 
быть медленным. 


Это самый медленный метод выделения памяти: аллокатор памяти дол- 
жен поддерживать и обновлять все управляющие структуры во время вы- 
деления и освобождения. Переполнение буфера обычно перезаписывает 
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все эти структуры. Выделения в куче также ведут к проблеме утечек па- 
мяти: каждый выделенный блок должен быть явно освобожден, но кто-то 
может забыть об этом, или делать это неправильно. Еще одна проблема 
— это «использовать после освобождения» — использовать блок памяти 
после того как Ёгее() был вызван на нем, это тоже очень опасно. Пример 
в этой книге: 1.30.2 (стр. 444). 


2.4. СРО 


2.4.1. Предсказатели переходов 


Некоторые современные компиляторы пытаются избавиться от инструкций услов- 
ных переходов. Примеры в этой книге: 1.18.1 (стр. 176), 1.18.3 (стр. 186), 1.28.5 
(стр. 421). 


Это потому что предсказатель переходов далеко не всегда работает идеаль- 
но, поэтому, компиляторы и стараются реже использовать переходы, если воз- 
можно. 


Одна из возможностей — это условные инструкции в ARM (как АОКсс), а еще 
инструкция СМО\сс в x86. 


2.4.2. Зависимости между данными 


Современные процессоры способны исполнять инструкции одновременно (ООЕ"*), 
но для этого, внутри такой группы, результат одних не должен влиять на ра- 
боту других. Следовательно, компилятор старается использовать инструкции 

с наименьшим влиянием на состояние процессора. 


Вот почему инструкция LEA в х86 такая популярная — потому что она не моди- 
фицирует флаги процессора, а прочие арифметические инструкции — моди- 
фицируют. 


2.5. Хеш-функции 


Простейший пример это СВСЗ2, алгоритм «более мощный» чем простая KOH- 
трольная сумма, для проверки целостности данных. Невозможно восстановить 
оригинальный текст из хеша, там просто меньше информации: ведь текст мо- 
жет быть очень длинным, но результат CRC32 всегда ограничен 32 битами. Но 
САСЗ2 не надежна в криптографическом смысле: известны методы как изме- 
нить текст таким образом, чтобы получить нужный результат. Криптографи- 
ческие хеш-функции защищены от этого. 


Такие функции как МО5, 5НА1, и т. A., широко используются для хеширова- 
ния паролей для хранения их в базе. Действительно: БД форума в интерне- 
те может и не хранить пароли (иначе злоумышленник получивший доступ к 
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БД сможет узнать все пароли), а только хеши. К тому же, скрипту интернет- 
форума вовсе не обязательно знать ваш пароль, он только должен сверить его 
хеш с тем что лежит в БД, и дать вам доступ если сверка проходит. Один из 
самых простых способов взлома — это просто перебирать все пароли и ждать 
пока результат будет такой же как тот что нам нужен. Другие методы намного 
сложнее. 


2.5.1. Как работает односторонняя функция? 


Односторонняя функция, это функция, которая способна превратить из одно- 
го значения другое, при этом невозможно (или трудно) проделать обратную 
операцию. Некоторые люди имеют трудности с пониманием, как это возможно. 
Рассмотрим очень простой пример. 


У нас есть ряд из 10-и чисел в пределах 0..9, каждое встречается один раз, 
например: 


4601357892 


Алгоритм простейшей односторонней функции выглядит так: 
• возьми число на нулевой позиции (у нас это 4); 
• возьми число на первой позиции (у нас это 6); 
• обменяй местами числа на позициях 4 и 6. 


Отметим числа на позициях 4 и 6: 


4601357892 


^ ^ 


Меняем их местами и получаем результат: 


4601753892 


Глядя на результат, и даже зная алгоритм функции, мы не можем однознач- 
но восстановить изначальное положение чисел. Ведь первые два числа могли 
быть 0 и/или 1, и тогда именно они могли бы участвовать в обмене. 


Это крайне упрощенный пример для демонстрации, настоящие односторонние 
функции могут быть значительно сложнее. 
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Глава 3 


Более сложные примеры 


3.1. Двойное отрицание 


Популярный способ? сконвертировать ненулевое значение в 1 (или булево true) 
и Ов О (или булево false) это !!'statement: 


int сопуегі Фо Боо\1 (іп а) 


{ 
}; 


return !!а; 


Оптимизирующий ССС 5.4 x86: 


сопуегЕ фо Боо\: 


mov edx, DWORD PTR [esp+4] 
xor eax, eax 

test edx, edx 

setne al 

ret 


XOR всегда очищает возвращаемое значение B EAX, даже если SETNE не срабо- 
тает. T.e., XOR устанавливает возвращаемое значение (по умолчанию) в 0. 


Если входное значение не равно нулю (суффикс -NE в инструкции SET), тогда 
1 заносится в AL, иначе AL не модифицируется. 


Почему ЅЕТМЕ работает с младшей 8-битной частью регистра ЕАХ? Потому что 
значение имеет только последний бит (0 или 1), а остальные биты были уже 
сброшены при помощи ХОВ. 


Следовательно, этот код на Си/Си+ +может быть переписан так: 


int сопуегі Фо Боо\1 (іп а) 


{ 
if (а!=0) 


1Хотя и спорный, потому что приводит к трудночитаемому коду 
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return 1; 
е1ѕе 
return 0; 
}; 
или даже: 
int сопуегі о Боо (іп а) 
{ 
if (а) 
return 1; 
е1ѕе 
return 0; 
}; 


Компиляторы, компилирующие для СРО у которых нет инструкции близкой к 
ЅЕТ, в этом случае, генерируют инструкции условного перехода, ит. д. 


3.2. Использование const (const correctness) 


Это незаслуженно малоиспользуемая возможность многих ЯП. Тут можно NO- 
читать о её важности: 1, 2. 


Идеально, всё что вы не модифицируете, должно иметь модификатор const. 


Интересно, как const correctness обеспечивается на низком уровне. Локальные 
соп${-переменные и аргументы ф-ций не проверяются во время исполнения 
(только во время компиляции). Но глобальные переменные этого типа распо- 
лагаются в сегментах данных только для чтения. 


Вот пример который упадет, потому что, если будет скомпилирован MSVC для 
win32, глобальная переменная а располагается в сегменте .гдафа, который 
только для чтения: 


const а=123; 
void #(іпі жі) 
{ 
жі=11; // crash 
}; 
int main() 
{ 
f(&a); 
return a; 
}; 


Анонимные (не привязанные к имени переменной) строки в Си имеют тип const сһаг*. 
Вы не можете их модифицировать: 


#include <string.h> 
#include <stdio.h> 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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void alter ѕігіпо (сһаг жѕ) 


{ 
strcpy (s, "боодБуе!"); 
printf ("Result: %s\n", s); 
}; 
int main() 
{ 
alter_string ("Hello, world!\n"); 
}; 


Это код упадет B Linux (“segmentation fault”) и в Windows, если скомпилирован 
MinGW. 


GCC для Linux располагает все текстовые строки в сегменте данных .rodata, 
который недвусмысленно защищен от записи (“read only data”): 


$ об] аитр -s 1 


Contents о? section .rodata: 
400600 01000200 52657375 6c743a20 25730a00 ....Result: %5.. 
400610 48656c6c 6f2c2077 6f726c64 210a00 Hello, world!.. 


Когда ф-ция alter_string() пытается там писать, срабатывает исключение. 


Всё немного иначе в коде сгенерированном MSVC, строки располагаются B 
сегменте .data, у которого нет флага READONLY. Оплошность разработчиков 
MSVC? 


C:\...>0bjdump -s 1.ехе 


Contents of section .data: 


40b020 6f726c64 210a0000 00000000 00000000 orld!........... 


40b030 01000000 00000000 cOcb4000 00000000 .......... СТ 


С:\...>06] аитр -x 1.ехе 


Sections: 
Idx Name Size VMA LMA File off Algn 
0 .техї 00006d2a 00401000 00401000 00000400 2*2 
CONTENTS, ALLOC, LOAD, READONLY, CODE 
1 .rdata 00002262 00408000 00408000 00007200 2*2 


CONTENTS, ALLOC, LOAD, READONLY, DATA 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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2 .data 00000е00 00406000 00406000 00009600 2жж2 
CONTENTS, ALLOC, LOAD, РАТА 
3 .reloc 00000b98 0040e000 0040e000 0000a400 2жж2 


CONTENTS, ALLOC, LOAD, READONLY, DATA 


A B MinGW этой ошибки нет, и строки располагаются в сегменте .rdata. 


3.2.1. Пересекающиеся соп5ї-строки 


Тот факт, что анонимная Си-строка имеет тип const (1.5.1 (стр. 13)), и тот факт, 
что выделенные в сегменте констант Си-строки гарантировано неизменяемые 
(immutable), ведет к интересному следствию: компилятор может использовать 
определенную часть строки. 


Вот простой пример: 


#include <stdio.h> 


int f1() 
{ 
printf ("world\n"); 
} 
int f2() 
{ 
printf ("hello world\n"); 
} 
int main() 
{ 
f1(); 
f2(); 
} 


Среднестатистический компилятор с Си/Си+ +(включая MSVC) выделит место 
для двух строк, но вот что делает ССС 4.8.1: 


Листинг 3.1: ССС 4.8.1 + листинг в IDA 


f1 proc near 
5 = амога ptr -1Сһ 
sub esp, 1Ch 
mov [esp+1Ch+s], offset 5 ; “"world\n" 
call _puts 
add esp, 1Ch 
retn 
f1 endp 
f2 proc near 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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5 = амога рег -1Сһ 
sub esp, 1Ch 
mov [esp+1Ch+s], offset aHello ; "hello " 
call _puts 
add esp, 1Ch 
retn 
f2 endp 
aHello db 'hello ' 
5 db 'мог1а', Оха, 9 


Действительно, когда мы выводим строку «hello world», эти два слова распо- 
ложены в памяти впритык друг к другу и puts (), вызываясь из функции ?2(), 
вообще не знает, что эти строки разделены. Они и не разделены на самом деле, 
они разделены только виртуально, в нашем листинге. 


Когда puts () вызывается из 11 (), он использует строку «world» плюс нулевой 
байт. риїѕ() не знает, что там ещё есть какая-то строка перед этой! 


Этот трюк часто используется (по крайней мере в ССС) и может сэкономить 
немного памяти. Это близко к string interning. 


Еще один связанный с этим пример находится здесь: 3.3 (стр. 592). 


3.3. Пример strstr() 
Вернемся к тому факту, что ССС иногда использует только часть строки: 3.2.1 
(стр. 591). 


Ф-ция strstr() (из стандартной библиотеки Си/Си++) используется для поиска 
вхождений в строке. Вот что мы сделаем: 


#include <string.h> 
#include <stdio.h> 


int main() 

{ 
char »s="Hello, world!"; 
char »w=strstr(s, "world"); 


printf ("%p, [%s]\n", s, s); 
printf ("%p, [%s]\n", w, w); 


}; 


Вывод: 


0х8048530, [Не110о, мог1а! ] 
0х8048537, [мог1а!] 


Разница между адресом оригинальной строки и адресом подстроки, который 
вернула strstr(), это 7. Действительно, строка «Hello, » имеет длину в 7 симво- 
лов. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Ф-ция ргіпї#() во время второго вызова не знает о том, что перед передан- 
ной строкой имеются еще какие-то символы, и печатает символы с середины 
оригинальной строки, до конца (который обозначен нулевым байтом). 


3.4. Конвертирование температуры 


Еще один крайне популярный пример из книг по программированию для на- 
чинающих, это простейшая программа для конвертирования температуры по 
Фаренгейту в температуру по Цельсию. 


5. (Е -32) 
9 


С = 


Мы также добавим простейшую обработку ошибок: 1) мы должны проверять 
правильность ввода пользователем; 2) мы должны проверять результат, не 
ниже ли он -273 по Цельсию (что, как мы можем помнить из школьных уроков 
физики, ниже абсолютного ноля). 


Функция ехії() заканчивает программу тут же, без возврата в вызывающую 
функцию. 


3.4.1. Целочисленные значения 


#include <stdio.h> 
#include <stdlib.h> 


int main() 
{ 
int celsius, fahr; 
printf ("Enter temperature in Fahrenheit:\n"); 
if (scanf ("%d", &fahr)!=1) 
{ 
printf ("Error while parsing your input\n"); 
exit(0); 
}; 


celsius = 5 * (fahr-32) / 9; 


if (celsius<-273) 
{ 
printf ("Error: incorrect temperature!\n"); 
exit(0); 
}; 
printf ("Celsius: %d\n", celsius); 
}; 


Оптимизирующий MSVC 2012 x86 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Листинг 3.2: Оптимизирующий MSVC 2012 x86 


$564228 ОВ 'Enter temperature іп Еаһгепһеії:', бан, 00Н 
$564230 ОВ '%d', ӨӨН 
$564231 ОВ 'Еггог while parsing your 1при*', бан, ӨӨН 
$564233 DB 'Еггог: incorrect Тетрегафиге!', бан, Өөн 
$564234 ОВ 'Се151и5: %4', дан, ӨӨН 
_fahr$ = -4 ; size=4 
_main PROC 
push ecx 
push esi 
mov esi, DWORD PTR _imp__printf 
push OFFSET $564228 ; 'Enter temperature in Fahrenheit: ' 
call esi ; вызвать printf() 
lea eax, DWORD РТВ _fahr$[esp+12] 
push eax 
push OFFSET $564230 ; '%@' 
call DWORD РТА _imp_ scanf 
add esp, 12 
cmp eax, 1 
je SHORT $LN2@main 
push OFFSET $564231 ; 'Error while parsing your input' 
call esi ; вызвать printf() 
ааа еѕр, 4 
push 0 
са11 DWORD РТА  1тр_ ехії 
$LN9@main: 
$LN2@main: 
mov eax, DWORD PTR fahr$[esp+8] 
add eax, -32 ; ffffffe0H 
lea ecx, DWORD PTR [eax+eax*4] 
mov eax, 954437177 ; 38e38e39H 
imul ecx 
sar edx, 1 
mov eax, edx 
shr eax, 31 ; 0000001fH 
add eax, edx 
cmp eax, -273 ; fffffeefH 
jge SHORT $LN1@main 
push OFFSET $564233 ; 'Error: incorrect temperature! ' 
call esi ; вызвать printf() 
ааа еѕр, 4 
push 0 
call DWORD PTR _imp_exit 
$LN10@main: 
$LN1@main: 
push eax 
push OFFSET $564234 ; 'Celsius: %d' 
call esi ; вызвать printf() 
ааа еѕр, 8 
; возврат 0 - по стандарту C99 
хог еах, еах 
рор еѕі 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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рор есх 
геї 0 

$ М№В@таіп : 

_таіп ЕМОР 


Что мы можем сказать об этом: 


• Адрес функции printf() в начале загружается в регистр ESI так что по- 
следующие вызовы ргіпї? () происходят просто при помощи инструкции 
CALL ESI. Это очень популярная техника компиляторов, может присут- 
ствовать, если имеются несколько вызовов одной и той же функции в од- 
ном месте, и/или имеется свободный регистр для этого. 


• Мы видим инструкцию ADD EAX, -32 в том месте где от значения должно 
отняться 32. EAX = EAX +(-32) эквивалентно EAX = Е АХ -32 и как-то KOM- 
пилятор решил использовать ADD вместо SUB. Может быть оно того стоит, 
но сказать трудно. 


e Инструкция LEA используются там, где нужно умножить значение на 5: 
lea ecx, DWORD РТА [еах+еах*4]. Да, +1» 4 эквивалентно 1» 5 и LEA рабо- 
тает быстрее чем IMUL. Кстати, пара инструкций SHL EAX, 2 / ADD EAX, 
EAX может быть использована здесь вместо LEA— некоторые компиляторы 
так и делают. 


• Деление через умножение (3.10 (стр. 628)) также используется здесь. 


• Функция та1п() возвращает 0 хотя return 0 в конце функции отсутствует. 
В стандарте C99 [ISO/IEC 9899:ТСЗ (С C99 standard), (2007)5.1.2.2.3] указа- 
но что та1п() будет возвращать 0 в случае отсутствия выражения return. 
Это правило работает только для функции main(). И хотя, MSVC офици- 
ально не поддерживает С99, может быть частично и поддерживает? 


Оптимизирующий М$\С 2012 x64 


Код почти такой же, хотя мы заметим инструкцию ІМТ 3 после каждого вызова 
exit(). 


xor ecx, ecx 
call QWORD PTR  1тр ехії 
int 3 


INT 3 это точка останова для отладчика. 


Известно что функция ехії () из тех, что никогда не возвращают управление 
2, так что если управление все же возвращается, значит происходит что-то 
крайне странное, и пришло время запускать отладчик. 


3.4.2. Числа с плавающей запятой 


2еще одна популярная из того же ряда это 1опојтр() 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


#include <stdio.h> 
#include <stdlib.h> 


int main() 
{ 
double celsius, fahr; 
printf ("Enter temperature in Fahrenheit:\n"); 
if (scanf ("%lf", &fahr)!=1) 
{ 
printf ("Error while parsing your input\n"); 
exit(0); 
}; 


celsius = 5 ж (Таһг-32) / 9; 


if (celsius<-273) 
{ 
printf ("Error: incorrect temperature!\n"); 
exit(0); 
}; 
printf ("Celsius: %lf\n", celsius); 
}; 


MSVC 2010 x86 использует инструкции FPU.. 
Листинг 3.3: Оптимизирующий MSVC 2010 x86 


$564038 DB 'Enter temperature in Fahrenheit:', бан, 00Н 
$564040 DB '%lf', ӨӨН 
$564041 DB 'Error while parsing your input', бан, ӨӨН 
$564043 DB 'Error: incorrect temperature!', бан, Өөн 
$564044 DB 'Celsius: %lf', бан, ӨӨН 
_ real@c071100000000000 DQ 0с071100000000000г ; -273 
_ real@4022000000000000 DQ 04022000000000000r ;9 
_ real@4014000000000000 DQ 04014000000000000r 225 
_ геа104040000000000000 DQ 04040000000000000г 1732 
_Тайг$ = -8 ; size = 8 
_таіп PROC 
sub esp, 8 
push esi 
mov esi, DWORD РТК _imp_printf 
push OFFSET $564038 ; 'Enter temperature in Fahrenheit: ' 
call esi ; вызвать printf() 
lea eax, DWORD РТВ fahr$[esp+16] 
push eax 
push OFFSET $564040 P: -1 G a 
call DWORD РТА _imp_ scanf 
add esp, 12 
cmp eax, 1 
je SHORT $LN2@main 
push OFFSET $564041 ; 'Error while parsing your input' 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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call esi ; вызвать printf() 
ааа еѕр, 4 
push 0 
call DWORD РТА _imp_exit 
$LN2@main: 
fld QWORD PTR _fahr$[esp+12] 
fsub QWORD РТА  real@4040000000000000 ; 32 
fmul QWORD РТА __геа1@4014000000000000 ; 5 
fdiv QWORD РТА  real@4022000000000000 ; 9 
fld QWORD PTR _ геа\@с071100000000000 ; -273 
fcomp ST(1) 
fnstsw ax 
test ah, 65 ; 00000041H 
jne SHORT $LN1@main 
push OFFSET $564043 ; 'Error: incorrect temperature! ' 
fstp ST(0) 
call esi ; вызвать printf() 
ааа еѕр, 4 
push 0 
call DWORD PTR __1тр__ех1ї 
$LN1@main: 
sub esp, 8 
fstp QWORD PTR [esp] 
push OFFSET $564044 ; 'Celsius: %lf' 
call esi 
add esp, 12 
; возврат 0 - по стандарту C99 
хог еах, еах 
рор еѕі 
ада еѕр, 8 
геї 0 
$LN10@main: 
_main ENDP 


...НО MSVC от года 2012 использует инструкции SIMD вместо этого: 


Листинг 3.4: Оптимизирующий MSVC 2010 x86 


$564228 ОВ 'Enter temperature іп Fahrenheit:', бан, ӨӨН 
$564230 ОВ '%lf', ӨӨН 
$564231 ОВ 'Еггог while parsing your 1при*', бан, ӨӨН 
$564233 ОВ 'Еггог: incorrect %етрегафиге!', бан, ООН 
$564234 ОВ 'Се1$1и5: %1#', бан, ӨӨН 
_ Геа\@с071100000000000 DQ 0с071100000000000г ; -273 
_ геа104040000000000000 ро 04040000000000000г Е 
_ Геа\@4022000000000000 DQ 04022000000000000г ‚ 9 
_ real@4014000000000000 DQ 04014000000000000г z5 
_fahr$ = -8 ; size = 8 
_таіп PROC 
sub esp, 8 
push esi 
mov esi, DWORD PTR _imp_ printf 
push OFFSET $564228 ; 'Enter temperature in Fahrenheit: ' 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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call esi ; вызвать printf() 
lea eax, DWORD PTR fahr$[esp+16] 
push eax 
push OFFSET $564230 ; '%lf' 
call DWORD РТА _imp_ scanf 
add esp, 12 
cmp eax, 1 
je SHORT $LN2@main 
push OFFSET $564231 ; 'Error while parsing your input' 
call esi ; вызвать printf() 
add esp, 4 
push 0 
call DWORD РТА _imp_exit 
$LN9@main: 
$LN2@main: 


movsd хтт1, QWORD PTR _Тайг$ [е5р+12] 

51654 хтт1, QWORD РТА _ геа1@4040000000000000 ; 32 
movsd  хтто, QWORD РТК _ геа\@с071100000000000 ; -273 
mulsd хтт1, QWORD РТА  real@4014000000000000 ; 5 
divsd хтт1, QWORD РТВ _ геа1@4022000000000000 ; 9 
сотіѕа хтт0, хтт1 


јре SHORT $LN1@main 
push OFFSET $564233 ; 'Error: incorrect temperature! ' 
call esi ; вызвать printf() 
ааа еѕр, 4 
push 0 
call DWORD РТА _imp_exit 
$LN10@main: 
$LN1@main: 
sub esp, 8 
movsd QWORD PTR [esp], хтт1 
push OFFSET $564234 ; ‘Celsius: call esi ; вызвать 
printf() 
add esp, 12 
; возврат 0 - по стандарту C99 
хог еах, еах 
рор еѕі 
ада еѕр, 8 
геї 0 
$ №8 @та1п: 
_таіп  ЕМОР 


Конечно, 51МО-инструкции доступны и в х86-режиме, включая те что работают 
с числами с плавающей запятой. Их использовать в каком-то смысле проще, 
так что новый компилятор от Microsoft теперь применяет их. 


Мы можем также заметить, что значение -273 загружается в регистр ХММӨ canw- 
ком рано. И это нормально, потому что компилятор может генерировать ин- 
струкции далеко не в том порядке, в котором они появляются в исходном ко- 
де. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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3.5. Числа Фибоначчи 


Еще один часто используемый пример в учебниках по программированию это 
рекурсивная функция, генерирующая числа Фибоначчи 3. Последовательность 
очень простая: каждое следующее число — это сумма двух предыдущих. Пер- 
вые два числа — это О и 1, или 1и 1. 


Начало последовательности: 
0,1,1,2,3,5, 8, 13,21, 34,55, 89, 144, 233, 377, 610,987, 1597, 2584, 4181... 


3.5.1. Пример #1 


Реализация проста. Эта программа генерирует последовательность вплоть до 
21. 


#include <stdio.h> 


void fib (int a, int b, int limit) 


{ 
printf ("%d\n", a+b); 
if (a+b > limit) 
return; 
fib (b, a+b, limit); 
}; 
int main() 
{ 
printf ("Ө\п1\п1\п"); 
fib (1, 1, 20); 
}; 
Листинг 3.5; MSVC 2010 x86 
_а$ = 8 ; 51те = 4 
_b$ = 12 ; 51те = 4 
_limit$ = 16 ; 51те = 4 
fib PROC 
push ebp 
mov ebp, esp 
mov eax, DWORD PTR _a$[ebp] 
add eax, DWORD PTR _b$[ebp] 
push eax 


push OFFSET $562643 
call DWORD РТА _imp_ printf 


add esp, 8 

mov ecx, DWORD PTR _a$[ebp] 

add ecx, DWORD PTR _b$[ebp] 

cmp ecx, DWORD РТВ limit$[ebp] 
jle SHORT $LN1@fib 

jmp SHORT $LN2@fib 


3http://oeis .org/A000045 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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$LN1@fib: 
mov 
push 
mov 
add 
push 
mov 
push 
call 
add 

$LN2@fib: 
pop 
ret 

_fib ENDP 


_main PROC 
push 
mov 
push 
call 
add 
push 
push 
push 
call 
add 
xor 
pop 
ret 

_main ENDP 


edx, DWORD PTR limit$[ebp] 
edx 

eax, DWORD PTR _a$[ebp] 
eax, DWORD PTR _b$[ebp] 

eax 

ecx, DWORD PTR _b$[ebp] 

ecx 


_fib 
esp, 12 
ebp 

0 

ебр 

ebp, esp 


OFFSET $562647 ; "О\п1\п1\п" 
DWORD РТА _imp_ printf 
esp, 4 


Этим мы проиллюстрируем стековые фреймы. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Загрузим пример в OllyDbg и дотрассируем до самого последнего вызова функ- 


ции 1 (): 


PUSH ЕВР 

МОУ ЕВР,ЕЅР 

MOU EAX, DWORD РТВ 55: [ЕВР+81 
ADD EAX, DWORD РТВ 55: ГЕВР+С1 
PUSH EAX 


PUSH fib. ЯВРОЗ! 


900 
CALL DWORD РТВ 05: С<&М50СК100, ргіпе# >1 


ADD ЕЗР, 8 

MOU ECX, DWORD РТВ 55: [ЕВР+81 
ADD ECX, DWORD РТВ 55: [ЕВР+С1 
СМР ECX, DWORD РТВ 55: [ЕВР+18] 
JLE SHORT #16.88201925 

JMP SHORT +16.8820183С 

MOY EDX, DWORD PTR 55: [ЕВР+18] 
PUSH ЕОХ 


МОУ EAX, DWORD РТВ 55: [ЕВР+81 
ADD EAX, DWORD РТВ 55: [ЕВР+С1 
РУЗН ЕЯХ 

МОУ ECX, DWORD РТВ 55: ГЕВР+С1 
PUSH ECX 

CALL fib. ØØFD1000 

ADD ESP, 8С 


РОР ЕВР” 
ап 


88501839} 


ВВЗ5ЕЭЕС 


89352984 
74С13338 


RETURN 


RETURN 


RETURN 


RETURN 


RETURN 


RETURN 


FPU) 


Е 
80000815 
@@@СЕЗСӘ 
@йййй@йй 
89352948 
88352958 
80008081 
88703378 


9В010930 


00000202 


а. 
а. 
а. 
а. 
а. 
а 


. 00FD1039 


.98201839 from 


. 00FD1039 


.BØFD1039 from 


.9820185С 


„98201108 from 


= хрр] 


f ib. 00FD3378 
f ib. 00FD1030 


22bit ØIFFFFFFFF) 
32bit @(ЕЕЕЕЕРЕР) 
32bit ØLFFFFFFFF) 
22bit ØLFFFFFFFF) 
22bit ZEFDDØØØLFFF) 
22bit ØLFFFFFFFF) 


ERROR_SUCCESS (88888808) 
(NO, NB, NE, A, NS, PO, GE, G) 


. 98201808 


. 98201888 


. 88201808 


. 98201898 


. 98201808 


. 98201048 


Pointer то пект SEH record 
SE handler 


RETURN to kernel32.74C1338A 


Рис. 3.1: OllyDbg: последний вызов #() 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Исследуем стек более пристально. Комментарии автора книги *: 


00352940 — 00Е01039 RETURN to fib.00FD1039 from fib.00FD1000 
0035F944 00000008 первый аргумент: а 

00357948 00000000 второй аргумент: b 

0035F94C 00000014 третий аргумент: limit 

00357950 /0035Е964 сохраненный регистр ЕВР 

0035Е954 |00Е01039 RETURN to #1Ы.00Е01039 from fib.00FD1000 
0035F958 |00000005 первый аргумент: a 

0035F95C |00000008 второй аргумент: b 

0035F960 |00000014 третий аргумент: limit 

0035F964 ]0035Е978 сохраненный регистр ЕВР 

0035F968 |00FD1039 RETURN to fib.00FD1039 from fib.00FD1000 
0035F96C |00000003 первый аргумент: a 

0035F970 |00000005 второй аргумент: b 

0035F974 |00000014 третий аргумент: limit 

0035F978 ]0035F98C сохраненный регистр ЕВР 

0035F97C |00Е01039 RETURN to fib.00FD1039 from fib.00FD1000 
0035F980 |00000002 первый аргумент: a 

0035F984 |00000003 второй аргумент: b 

0035F988 |00000014 третий аргумент: limit 

0035F98C ]0035F9A0 сохраненный регистр ЕВР 

0035F990 |00FD1039 RETURN to fib.00FD1039 from fib.00FD1000 
0035F994 |00000001 первый аргумент: a 

0035F998 |00000002 второй аргумент: b 

0035F99C |00000014 третий аргумент: limit 

0035F9A0 ]0035F9B4 сохраненный регистр ЕВР 

0035F9A4 |00FD105C RETURN to fib.00FD105C from fib.00FD1000 


0035F9A8 |00000001 первый аргумент: a \ 
0035F9AC |00000001 второй аргумент: b | подготовлено B main() для #12 
S) 


0035F9B0 |00000014 третий аргумент: limit / 

0035F9B4 ]0035F9F8 сохраненный регистр ЕВР 

00352988 |00Е01100 RETURN to #1Ы.00Е01100 from fib.00FD1040 

0035F9BC |00000001 main() первый аргумент: argc \ 

0035F9C0 |006812C8 та1п() второй аргумент: argv | подготовлено в CRT для / 
„ main() 

0035F9C4 |00682940 main() третий аргумент: envp / 


Функция рекурсивная °, поэтому стек выглядит как «бутерброд». 


Мы видим, что аргумент limit всегда один и тот же (0x14 или 20), но аргументы 
а и b разные при каждом вызове. 


Здесь также адреса КА и сохраненные значения ЕВР. OllyDbg способна опре- 
делять ЕВР-фреймы, так что она тут нарисовала скобки. Значения внутри каж- 
дой скобки это stack frame, иными словами, место, которое каждая инкарнация 
функции может использовать для любых своих нужд. Можно сказать, каждая 
инкарнация функции не должна обращаться к элементам стека за пределами 
фрейма (не учитывая аргументов функции), хотя это и возможно технически. 


4Кстати, в OllyDbg можно отметить несколько элементов и скопировать их в клипбоард (Ctrl-C). 
Это было сделано для этого примера 
5т.е. вызывающая сама себя 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Обычно это так и есть, если только функция не содержит каких-то ошибок. 
Каждое сохраненное значение ЕВР это адрес предыдущего stack frame: это 
причина, почему некоторые отладчики могут легко делить стек на фреймы и 
выводить аргументы каждой функции. 


Как видно, каждая инкарнация функции готовит аргументы для следующего 
вызова функции. 


В самом конце мы видим 3 аргумента функции та1п(). агдс равен 1 (да, дей- 
ствительно, ведь мы запустили эту программу без аргументов в командной 
строке). 


Очень легко привести к переполнению стека: просто удалите (или закоммен- 
тируйте) проверку предела и процесс упадет с исключением 0хС00000РЕрБ (пе- 
реполнение стека.) 


3.5.2. Пример #2 


В моей функции есть некая избыточность, так что добавим переменную next и 
заменим на нее все «a+b»: 


#include <stdio.h> 


void fib (int a, int b, int limit) 


{ 
int next=a+b; 
printf ("%d\n", next); 
if (next > limit) 
return; 
fib (b, next, limit); 
}; 
int main() 
{ 
printf ("Ө\п1\п1\п"); 
fib (1, 1, 20); 
}; 


Это результат работы неоптимизирующего MSVC, поэтому переменная next 
действительно находится в локальном стеке: 


Листинг 3.6: MSVC 2010 x86 


_пехї$ = -4 ; 5176 = 4 

_а$ = 8 ; 51те = 4 

_b$ = 12 ; 51те = 4 

_limit$ = 16 ; size = 4 

_fib PROC 
push ebp 
mov ebp, esp 
push ecx 
mov eax, DWORD PTR _a$[ebp] 
add eax, DWORD PTR _b$[ebp] 
mov DWORD PTR _next$[ebp], eax 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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mov 
push 
push 
call 
add 
mov 
cmp 
jle 
jmp 
$LN1@fib: 
mov 
push 
mov 
push 
mov 
push 
call 
add 
$LN2@fib: 
mov 
pop 
ret 
_fib ENDP 


_main PROC 
push 
mov 
push 
call 
add 
push 
push 
push 
call 
add 
xor 
pop 
ret 

_main ENDP 


ecx, DWORD PTR _next$[ebp] 
ecx 

OFFSET $562751 ; '%d' 

DWORD РТА _imp_ printf 
esp, 8 

edx, DWORD PTR _next$[ebp] 
edx, DWORD PTR limit$[ebp] 
SHORT $LN1@fib 

SHORT $LN2@fib 


eax, DWORD PTR limit$[ebp] 
eax 

ecx, DWORD PTR _next$[ebp] 
ecx 

edx, DWORD PTR _b$[ebp] 

edx 

_fib 

esp, 12 


esp, ebp 
ebp 
0 


ебр 

ebp, esp 

OFFSET $562753 ; "0\п1\п1\п" 
DWORD PTR _imp_ printf 

esp, 4 

20 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Загрузим OllyDbg снова: 


52 
ES _C6FFFFFF 
8354 ØC 


Щ- ....... 


ЙЙЕЙ1ЙЗЕ 


2] 


ЙЙЕЙ1Й41 
20Е81842 


Return to ЙЙЕЙ1ЙЗА íf ib2.00E0103A) 


ВВЕВЗВИВ 


РОР ЕВР 
ВЕТМ 


ADD EAX, DWORD PTR 55: ГЕВР+С] 
MOU DWORD PTR S$S:[EBP-4], EAX 
MOU ECX, DWORD PTR S$S:[EBP-4] 
PUSH ECX 

PUSH #162. 08ЕВ 3988 

CALL DWORD РТВ DS:[<&MSUCR100.printf>] 
ADD ESP, 8 

MOU EDX, DWORD РТВ 55: [ЕВР-4] 
CMP EDX, DWORD РТЕ 55: [ЕВР+181 
JLE SHORT fib2.00E01029 

JMP SHORT fib2.00E01020 

МОУ EAX, DWORD PTR 55: [ЕВР+181 
PUSH ЕЯХ 

МОУ ECX, DWORD PTR S$S:[EBP-4] 
PUSH ЕСХ 

МОУ EDX, DWORD PTR S$S:[EBP+C] 
PUSH EDX 

CALL fib2.Ø0E01000 

ADD ESP, ØC 

MOU ESP, EBP 


INTS 
INTS 


аййййййп 
80000814 
аййййййп 
@@й29ЕС4й 
@ЙЕЙ1@ЗН 
айййй@йс 
80000888 
80080814 
80000888 
в829-С58 
СЕ 
80000883 
аййййййс& 
00000014 
воввавв5 
ВВ29ЕС?8 
ВВЕВ!1ВЗЯ 
аййййййг 
80000883 
80080814 
90000893 
8929088 


90000814 
аййййййг 
ӨЙ29ЕСӘС 


m 


80080814 
ВВ2ЭЕСЕВ 
90ЕВ 1 1ЕВ 
80000081 
808812С8 
80882948 
BFF371AC 
аййййййй 


gogogo 
ТЕЕПЕ@@Й 
аййййййй 
аййййййй 
@@й29ЕСВ@ 
E9996677 
8829Е01С 


в829ЕС08 


20000803 


62085617 
80000815 
@ййййййй 
9Й29ЕС14 
8829ЕС28 
80808081 
88Е 83378 


80Е8 1848 


empty 
empty 
empty 
empty 
empty 
empty 


RETURN 


RETURN 


RETURN 


RETURN 


RETURN 


RETURN 


f ib2. Ø0EØ1Ø3A from 


f ib2. Ø0EG103A from 


f ib2. 00E0103A from 


f ib2. Ø0EG103A from 


f ib2. 00E0106C from 


f ib2. 00E011E0 from 


MSUCR100. 6F085617 


f ib2. 00E03378 
f ib2. 00E01040 


22bit ØLFFFFFFFF) 
22bit ØLFFFFFFFF) 
22bit ØLFFFFFFFF) 
32bit ØLFFFFFFFF) 
32bit РЕРООВВВ(ЕЕЕ) 
32bit ØLFFFFFFFF) 


ERROR_SUCCESS (888888088) 
(NO, NB, NE, A, NS, PO, GE, G) 


f ib2. 00E0100t 


f ib2. Ø0E0100L 


f ib2. 088Е 1 86 


+162.88ЕВ 198% 


+162. 088Е 81 804 


+162. 00E0105¢ 


Pointer to nest SEH record 


Рис. 3.2: OllyDbg: последний вызов f() 


Теперь переменная next присутствует в каждом фрейме. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Рассмотрим стек более пристально. Автор и здесь добавил туда своих коммен- 


тариев: 

0029ЕС14 00E0103A RETURN to fib2.00E0103A from fib2.00E01000 

0029FC18 00000008 первый аргумент: a 

0029FC1C 00000000 второй аргумент: b 

0029FC20 00000014 третий аргумент: limit 

0029FC24 00000000 переменная "next" 

0029ЕС28 /0029ЕС40 сохраненный регистр ЕВР 

0029ЕС2С |00E0103A RETURN to #1602.00Е0103А from #162. 00Е01000 

0029FC30 |00000005 первый аргумент: а 

0029ЕС34 |00000008 второй аргумент: b 

0029ЕС38 |00000014 третий аргумент: limit 

0029FC3C |00000008 переменная "next" 

0029FC40 10029ЕС58 сохраненный регистр ЕВР 

0029ЕС44 |00E0103A RETURN to #1602.00Е0103А from #162. 00Е01000 

0029ЕС48 |00000003 первый аргумент: а 

0029FC4C |00000005 второй аргумент: b 

0029FC50 |00000014 третий аргумент: limit 

0029FC54 |00000005 переменная "next" 

0029FC58 10029ЕС79 сохраненный регистр ЕВР 

0029ЕС5С |00E0103A RETURN to #162.00Е0103А from #162. 00Е01000 

0029ЕС60 |00000002 первый аргумент: а 

0029ЕС64 |00000003 второй аргумент: b 

0029ЕС68 |00000014 третий аргумент: limit 

0029FC6C |00000003 переменная "next" 

0029FC70 10029ЕС88 сохраненный регистр ЕВР 

0029ЕС74 |00E0103A RETURN to #102.00Е0103А from #162. 00Е01000 

0029ЕС78 |00000001 первый аргумент: а \ 

0029ЕС7С |00000002 второй аргумент: b | подготовлено в #1() для / 
следующего вызова 11() 

0029ЕС80 |00000014 третий аргумент: limit / 

0029ЕС84 |00000002 переменная "next" 

0029ЕС88 10029ЕС9С сохраненный регистр ЕВР 

0029ЕС8С |00Е0106с RETURN to #1602.00Е0106С from #162. 00Е01000 

0029FC90 |00000001 первый аргумент: а \ 

0029ЕС94 |00000001 второй аргумент: b | подготовлено в таіп() для #12 
S) 

0029FC98 |00000014 третий аргумент: limit / 

0029FC9C 10029ЕСЕ9 сохраненный регистр ЕВР 

0029FCAO |00E011E0 RETURN to #162.00Е011Е0 from #162. 00Е01050 

0029FCA4 |00000001 main() первый аргумент: argc \ 

0029FCA8 |000812C8 та1п() второй аргумент: argv | подготовлено в CRT для / 
s main() 

0029FCAC |00082940 та1п() третий аргумент: envp / 


Значение переменной next вычисляется в каждой инкарнации функции, затем 


передается аргумент b в следующую инкарнацию. 


3.5.3. Итог 


Рекурсивные функции эстетически красивы, но технически могут ухудшать 
производительность из-за активного использования стека. Тот, кто пишет кри- 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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тические к времени исполнения участки кода, наверное, должен избегать при- 
менения там рекурсии. 


Например, однажды автор этих строк написал функцию для поиска нужного 
узла в двоичном дереве. Рекурсивно она выглядела очень красиво, но из-за 
того, что при каждом вызове тратилось время на эпилог и пролог, все это ра- 
ботало в несколько раз медленнее чем та же функция, но без рекурсии. 


Кстати, поэтому некоторые компиляторы функциональных ЯП (где рекурсия 
активно применяется) используют хвостовую рекурсию. Хвостовая рекурсия, 
это когда ф-ция имеет только один вызов самой себя, в самом конце, напри- 
мер: 


Листинг 3.7: Scheme, пример взят из Wikipedia 


;; factorial : number -> number 
;; to calculate the product of all positive 
;; integers less than or equal to n. 
(define (factorial n) 
(if (= п 1) 
1 


(ж n (factorial (- n 1))))) 


Хвостовая рекурсия важна, потому что компилятор может легко переработать 
такой код в итеративный, чтобы избавиться от рекурсии. 


3.6. Пример вычисления СВСЗ2 


Это распространенный табличный способ вычисления хеша алгоритмом САСЗ2/. 


/* Ву Bob Jenkins, (с) 2006, Public Domain */ 


#include <stdio.h> 
#include <stddef.h> 
#include <string.h> 


typedef unsigned long ub4; 
typedef unsigned char ч61; 


static const ub4 crctab[256] = { 
0x00000000, 0x77073096, Охеедеб12с, 0x990951ba, 0x076dc419, 
0x706af48f, 0xe963a535, 0x9e6495a3, 0x0edb8832, 0x79dcb8a4, 
0xe0d5e91e, 0x97d2d988, 0x09b64c2b, 0x7eb17cbd, 0xe7b82d07, 
0x90bf1d91, 0x1db71064, 0x6ab020f2, 0xf3b97148, 0x84be41de, 
Өх1аааа47а, Охбадде4ер, 0xf4d4b551, 0x83d385c7, 0x136c9856, 
0x646ba8c0, Өх#аб2#97а, 0x8a65c9ec, 0x14015c4f, 0x63066cd9, 
Oxfa0f3d63, 0x8d080df5, 0x3b6e20c8, 0x4c69105e, 0xd56041e4, 
0xa2677172, 0x3c03e4d1, 0x4b04d447, 0xd20d85fd, 0xa50ab56b, 
0x35b5a8fa, 0x42b2986c, @0xdbbbc9d6, 0xacbcf940, 0x32d86ce3, 
0x45df5c75, Өхасаб0ас#, Өхара13059, 0x26d930ac, 0x51de003a, 


6LISP, Python, Lua, etc. 
7ТИсходник взят тут: http://burtleburtle.net/bob/c/crc.c 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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0хс8475180, 
0xb8bda50f, 
0x2f6f7c87, 
0x01db7106, 
0x9fbfe4a5, 
0xe10e9818, 
0x6b6b51f4, 
0x1b01a57b, 
0x8bbeb8ea, 
Ох#Ьа44с65, 
0х4аЧТа541, 
0x346ed9fc, 
Охаада4с5#, 
0хс90с2086, 
0x5edef90e, 
0x2eb40d81, 
0x03b6e20c, 
0x73dc1683, 
Охе40естор, 
0х8708аза2, 
0х196с3671, 
0x67dd4acc, 
0xd6d6a3e8, 
0xa6bc5767, 
0x36034af6, 
0x4669be79, 
0xcc0c7795, 
0xb2bd0b28, 
0x2cd99e8b, 
0x026d930a, 
0x95bf4a82, 
0xe5d5be0d, 
0x68ddb3f8, 
0x18b74777, 
0x8f659eff, 
0ха70аа2ее, 
0х4969474а, 
0x37d83bf0, 
Oxbdbdf21c, 
0xcdd70693, 
0x5d681b02, 
0x2d02ef8d 
}; 


/ж Ном to derive the values іп сгсёар[] from polynomial Өхей088320 */ 


Oxbfd06116, 
0x2802b89e, 
0x58684c11, 
0x98d220bc, 
0xe8b8d433, 
0x7f6a0dbb, 
0х1с6с6162, 
0х820814с1, 
Ох#ср9887с, 
0х44626158, 
0х344989547, 
0ха9678846, 
0х990497сс9, 
0х57680525, 
0х2909с998, 
0xb7bd5c3b, 
0x74b1d29a, 
0xe3630b12, 
0x9309f f9d, 
0x1e01f268, 
0x6e6b06e7, 
Oxf9b9df6f, 
0xa1d1937e, 
0x3fb506dd, 
0x41047a60, 
0xcb61b38c, 
0xbb0b4703, 
0x2bb45a92, 
Өх5раеае1а, 
0x9c0906a9, 
0xe2b87a14, 
0x7cdcefb7, 
0x1fda836e, 
0x88085ae6, 
0xf862ae69, 
0x4e048354, 
0x3e6e77db, 
0xa9bcae53, 
Oxcabac28a, 
0x54de5729, 
0x2a6f2b94, 


void build_table() 


0x21b4f4b5, 
0x5f058808, 
0хс1611аар, 
Охе?#а5102а, 
0х7807с9а2, 
0x086d3d2d, 
0x856530d8, 
Ох#50#с457, 
0x62dd1ddf, 
0x3ab551ce, 
0xa4d1c46d, 
0xda60b8d0, 
0x5005713c, 
0х20618553, 
0х60909822, 
Охс0Бабсача, 
Охеай54739, 
0х94643084, 
Охдаддае27, 
0х6906с2?е, 
Oxfed41b76, 
Ox8ebeeff9, 
0x38d8c2c4, 
0x48b2364b, 
Oxdf60efc3, 
0xbc66831a, 
0x220216b9, 
0x5cb36a04, 
0x9b64c2b0, 
0xeb0e363f, 
0x7bb12bae, 
0x0bdbdf21, 
0x81be1l6cd, 
OxffOf6a70, 
0x616bffd3, 
0x3903b3c2, 
Охаеа1бада, 
Охаерр9ес5, 
0х53039330, 
0x23d967bf, 
0xb40bbe37, 


0x56b3c423, 
0xc60cd9b2, 
0xb6662d3d, 
0x71b18589, 
0х0Т00Т934, 
0х91646с97, 
0х#262004е, 
0х656049сб, 
0х154а2449, 
0ха36с0074, 
0xd3d6f4fb, 
0x44042d73, 
0х270241аа, 
0xb966d409, 
0xc7d7a8b4, 
0xedb88320, 
0x9dd277af, 
0x0d6d6a3e, 
0x7d079eb1, 
0xf762575d, 
0x89d32be0, 
0x17b7be43, 
0x4fdff252, 
0xd80d2bda, 
0xa867df55, 
0x256fd2a0, 
0x5505262f, 
0xc2d7ffa7, 
0хесб31226, 
0х72076785, 
0x0cb61b38, 
0x86d3d2d4, 
0xf6b9265b, 
0x66063bca, 
0x166ccf45, 
0xa7672661, 
0xd9d65adc, 
0x47b2cf7f, 
0x24b4a3a6, 
0xb3667a2e, 
0хс30с8еа1, 


0хс{Ба9599, 
0xb10be924, 
0x76dc4190, 
0x06b6b51f, 
0x9609a88e, 
0xe6635c01, 
0x6c0695ed, 
0x12b7e950, 
0x8cd37cf3, 
0xd4bb30e2, 
0x4369e96a, 
0x33031de5, 
0xbe0b1010, 
Охсеб1е40{, 
0х59033417, 
0x9abfb3b6, 
0x04db2615, 
0x7a6a5aa8, 
Oxf00f9344, 
0x806567cb, 
0x10da7a5a, 
0x60b08ed5, 
0х916667+1, 
Oxaf0alb4c, 
0x316e8eef, 
0x5268e236, 
0xc5ba3bbe, 
0xb5d0cf31, 
0x756aa39c, 
0x05005713, 
0x92d28e9b, 
0xf1d4e242, 
0x6fb077e1, 
0x11010b5c, 
0xa00ae278, 
0xd06016f7, 
0x40df0b66, 
0x30b5ffe9, 
0xbad03605, 
0xc4614ab8, 
0x5a05df1b, 


{ 
ub4 i, j; 
for (1=0; 1<256; ++i) { 
J = 1; 
j = (j>>1) ^ ((j&1) ? 0xedb88320 : 0); 
j = (j>>1) ^ ((j&1) ? 0xedb88320 : 0); 
j = (j>>1) ^ ((1&1) ? 0xedb88320 : 0); 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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j = (]>>1) ^ ((1&1) ? 0хедь88320 : 0); 
j = (]>>1) ^ ((1&1) ? 0хедь88320 : 0); 
j = (]>>1) ^ ((1&1) ? 0хедь88320 : 0); 
j = (]>>1) ^ ((1&1) ? 0хедь88320 : 0); 
j = (]>>1) ^ ((]&1) ? 0хедь88320 : 0); 
printf("0x%.8lx, ", j); 

if (i%6 == 5) printf("\n"); 

} 


/ж the hash function */ 
ub4 crc(const void жкеу, ub4 len, ub4 hash) 
{ 
ub4 i; 
const ubl *k = key; 
for (hash=len, i=0; i<len; ++i) 
hash = (hash >> 8) ^ crctab[(hash & Oxff) ^ К[1]]; 
return hash; 


} 


/ж To use, try "gcc -0 сгс.с -0 crc; crc < сгс.с" */ 
int main() 


char s[1000]; 
while (gets(s)) printf("%.8lx\n", сгс($, strlen(s), 0)); 
return 0; 


} 


Нас интересует функция сгс ( ). Кстати, обратите внимание на два инициализа- 
тора в выражении Тог(): һаѕһ=1еп, 1=0. Стандарт Си/Си++, конечно, допуска- 
ет это. А в итоговом коде, вместо одной операции инициализации цикла, будет 
две. 


Компилируем в MSVC с оптимизацией (/0х). Для краткости, я приведу только 
функцию сгс(), с некоторыми комментариями. 


_Кеу$ = 8 ; 5і7е = 4 
_Теп$ = 12 ; size = 4 
_һаѕһ$ = 16 ; size = 4 
_СГС PROC 
mov edx, DWORD PTR _len$[esp-4] 
xor ecx, ecx ; 1 будет лежать в регистре ECX 
mov eax, edx 
test edx, edx 
jbe SHORT $LN1@crc 
push ebx 
push ез1 
mov esi, DWORD PTR _key$[esp+4] ; ESI = key 
push edi 
$LL3@crc: 


; работаем с байтами используя 32-битные регистры. B EDI положим байт с 
адреса Кеу+1 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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movzx еді, BYTE РТВ [есх+е$1] 
тоу ерх, еах ; ЕВХ = (һаѕһ = 1еп) 
апа ерх, 255 ; ЕВХ hash & Oxff 


; XOR EDI, EBX (EDI=EDI^EBX) 

; эта операция задействует все 32 бита каждого регистра 

; но остальные биты (8-31) будут обнулены всегда, так что все ОК 

; они обнулены потому что для EDI это было сделано инструкцией МО\7Х выше 
; а старшие биты EBX были сброшены инструкцией AND EBX, 255 (255 = Oxff) 


хог edi, ерх 


ЕАХ=ЕАХ>>8; образовавшиеся из ниоткуда биты в результате (биты 24-31) будут 
заполнены нулями 


shr eax, 8 


EAX=EAX^crctab[EDI*4] - выбираем элемент из таблицы crctab[] под номером E 
хог eax, DWORD РТВ crctab[edi*4] 


inc ecx ; i++ 
cmp ecx, edx ; i<len ? 
jb SHORT $LL3@crc ; да 
pop edi 
pop esi 
pop ebx 
$LN1@crc: 
ret 0 
_сгс ЕМОР 


Попробуем то же самое в ССС 4.4.1 с опцией -03: 


public crc 
crc proc near 
key = dword ptr 8 
hash = dword ptr 0Сһ 
push ebp 
xor edx, edx 
mov ebp, esp 
push esi 
mov esi, [ebp+key] 
push ebx 
mov ebx, [ebp+hash] 
test ebx, ebx 
mov eax, ebx 
jz short loc 8048403 
nop ; выравнивание 
lea esi, [esi+0] ; выравнивание; работает как NOP (ESI не 


меняется здесь) 


loc 8048488: 
тоу есх, еах ; сохранить предыдущее состояние хеша в 


ЕСХ 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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хог аі, [еѕі+еах]; А =* (Кеу+1) 
ада edx, 1 ; i++ 
shr ecx, 8 ; ECX=hash>>8 
тоу2х eax, al ; ЕАХ=*(Кеу+1) 
mov eax, dword ptr ds:crctab[eax*4] ; EAX=crctab[EAX] 
xor eax, ecx ; hash=EAX^ECX 
cmp ebx, edx 
ja short loc _80484B8 

loc 8048403: 
pop ebx 
pop esi 
pop ebp 
retn 

crc endp 


ССС немного выровнял начало тела цикла по 8-байтной границе, для этого до- 
бавил 

NOP n lea esi, [е51+0] (что тоже холостая операция). Подробнее об этом смот- 
рите в разделе о праа (.1.7 (стр. 1302)). 


3.7. Пример вычисления адреса сети 


Как мы знаем, ТСРЛР-адрес (1Ру4) состоит из четырех чисел в пределах 0... 255, 
т.е. 4 байта. 


4 байта легко помещаются в 32-битную переменную, так что адрес хоста в IPv4, 
сетевая маска или адрес сети могут быть 32-битными числами. 

С точки зрения пользователя, маска сети определяется четырьмя числами в 
формате вроде 

255.255.255.0, но сетевые инженеры (сисадмины) используют более компакт- 
ную нотацию (CIDR), вроде «/8», «/16», ит. д. 


Эта нотация просто определяет количество бит в сетевой маске, начиная с 
MSB. 


8Classless Inter-Domain Routing 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Маска | Хосты Свободно | Сетевая маска В шест.виде 

/30 4 2 255.255.255.252 | Ох с 

/29 8 6 255.255.255.248 | Oxfffffff8 

/28 16 14 255.255.255.240 | OxfffffffO 

[27 32 30 255.255.255.224 | Ох ео 

/26 64 62 255.255.255.192 | ОХ со 

/24 256 254 255.255.255.0 ОХОО сеть класса С 
/23 512 510 255.255.254.0 Ох еоо 

[22 1024 1022 255.255.252.0 Ох соо 

[21 2048 2046 255.255.248.0 Ох #800 

/20 4096 4094 255.255.240.0 Ох ООО 

/19 8192 8190 255.255.224.0 Oxffffe000 

/18 16384 16382 255.255.192.0 Oxffffco00 

[17 32768 32766 255.255.128.0 ОхїЇ8000 

/16 65536 65534 255.255.0.0 Ох #0000 сеть класса В 
/8 16777216 16777214 | 255.0.0.0 Oxff000000 сеть класса А 


Вот простой пример, вычисляющий адрес сети используя сетевую маску и ад- 
рес хоста. 


#include <stdio.h> 
#include <stdint.h> 


uint32_t form_IP (uint8_t ipl, uint8 t ip2, uint8_t ip3, uint8_t ip4) 
{ 
return (1р1<<24) | (1р2<<16) | (ip3<<8) | ip4; 


}; 
void ргіпї аѕ ІР (и1п{32 та) 
{ 
printf ("%а.%а. а. %0\п", 
(a>>24)&0xFF, 
(a>>16)&0xFF, 
(a>>8)&0xFF, 
(a)&0xFF); 
}; 
// 011=31..0 
uint32 t ѕеї рії (uint32 t input, int bit) 
{ 
return input=input]|(1<<bit); 
}; 
uint32_t огт пеїтаѕк (иіпі8 1 пеїтаѕк 6115) 
{ 
иіпЁ32 + netmask=0; 
uint8 t i; 
for (i=0; i<netmask_bits; i++) 
netmask=set_bit (netmask, 31-i); 
return netmask; 
}; 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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void са1с пеїмогк address (иіпї8 t ipl, uint8 t 1р2, uint8 t 1р3, uint8 {и 


ъ 1р4, uint8 t netmask bits) 


{ 
uint32_t netmask=form_netmask(netmask_bits); 
uint32_t 1р=Рогт_ТР(1р1, 1р2, ip3, 1р4); 
uint32_t netw_adr; 
printf ("netmask="); 
print_as_IP (netmask); 
netw_adr=ip&netmask; 
printf ("network address="); 
print_as_IP (пефм adr); 
}; 
int таіп() 
{ 
са1с пеїмогк ааагеѕѕ (10, 1, 2, 4, 24); // 19 
са\с пеїмогк ааагеѕѕ (10, 1, 2, 4, 8); // 19 
са\с пеїмогк ааагеѕѕ (10, 1, 2, 4, 25); // 19 
са1с пеїмогк ааагеѕ5 (10, 1, 2, 64, 26); // 19 
}; 


/24 
/8 

/25 
/26 


3.7.1. саіс пемогк ааагеѕѕ5() 


Функция са1с пеїмогК аадгеѕѕ() самая простая: 


она просто умножает (логически, используя AND) адрес хоста на сетевую маску, 


в итоге давая адрес сети. 


Листинг 3.8: Оптимизирующий МУС 2012 /Ob0 


_1р1$ = 8 ; size = 1 
_1р2$ = 12 ; size = 1 
_1р3$ = 16 ; size = 1 
_1р4$ = 20 ; size = 1 
_пеїтаѕК 6115$ = 24 ; size = 1 
_са1с пеїмогк адагеѕѕ PROC 
push edi 
push DWORD PTR _netmask bits$[esp] 
call _form_netmask 
push OFFSET $563045 ; 'netmask=' 
mov edi, eax 
call DWORD РТА _imp_ printf 
push edi 
call _print_as_IP 


push OFFSET $563046 ; 'network address=' 
call DWORD РТА _imp_ printf 
push DWORD PTR _ip4$[esp+16] 
push DWORD PTR _ip3$[esp+20] 
push DWORD PTR _ip2$[esp+24] 
push DWORD PTR _ip1$[esp+28] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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call _form_IP 
and eax, edi ; network address = host address & netmask 
push eax 
call _print_as_IP 
add esp, 36 
pop edi 
ret 0 
_са1с пеїмогк ааагеѕѕ ЕМОР 


На строке 22 мы видим самую важную инструкцию АМО— так вычисляется ад- 
рес сети. 


3.7.2. Ғогт 1Р() 


Функция Тогт ІР() просто собирает все 4 байта в одно 32-битное значение. 
Вот как это обычно происходит: 
• Выделите переменную для возвращаемого значения. Обнулите её. 


• Возьмите четвертый (самый младший) байт, сложите его (логически, ин- 
струкцией ОВ) с возвращаемым значением. Оно содержит теперь 4-й байт. 


• Возьмите третий байт, сдвиньте его на 8 бит влево. Получится значение 
в виде 0х00006600, где bb это третий байт. Сложите итоговое значение 
(логически, инструкцией ОВ) с возвращаемым значением. Возвращаемое 
значение пока что содержит 0х000000аа, так что логическое сложение в 
итоге выдаст значение вида 0x0000bbaa. 


• Возьмите второй байт, сдвиньте его на 16 бит влево. Вы получите зна- 
чение вида 0х00сс0000, где сс это второй байт. Сложите (логически) pe- 
зультат и возвращаемое значение. Выходное значение содержит пока что 
0x0000bbaa, так что логическое сложение в итоге выдаст значение вида 
0x00ccbbaa. 


• Возьмите первый байт, сдвиньте его Ha 24 бита влево. Вы получите значе- 
ние вида 0х000000090, где dd это первый байт. Сложите (логически) резуль- 
тат и выходное значение. Выходное значение содержит пока что 0x00ccbbaa, 
так что сложение выдаст в итоге значение вида Oxddccbbaa. 


И вот как работает неоптимизирующий MSVC 2012: 


Листинг 3.9: Неоптимизирующий MSVC 2012 


; определим ipl как "аа", 1р2 как "сс", 1р3 как "bb", 1р4 как "аа" 
_1р1$ = 8 ; size = 1 
_1р2$ = 12 ; size = 1 
_1р3$ = 16 ; size = 1 
_1р4$ = 20 ; size = 1 
_Тогт ІР PROC 
push ebp 
mov ebp, esp 
movzx eax, BYTE PTR _1р1$[ебр] 
; EAX=000000dd 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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shl eax, 24 

; EAX=dd000000 

movzx ecx, BYTE PTR _ip2$[ebp] 
; ECX=000000cc 


shl ecx, 16 
; ECX=00cc0000 
or eax, ecx 


; EAX=ddcc0000 
movzx edx, BYTE PTR _ip3$[ebp] 
; EDX=000000bb 


shl edx, 8 
; EDX=0000bb00 
or eax, edx 


; EAX=ddccbb00 
movzx ecx, BYTE PTR _ip4$[ebp] 
; ECX=000000aa 


or eax, ecx 
; EAX=ddccbbaa 
pop ebp 

ret 0 


_Тогт ІР ЕМОР 


Хотя, порядок операций другой, но, конечно, порядок роли не играет. 


Оптимизирующий М5\С 2012 делает то же самое, но немного иначе: 


Листинг 3.10: Оптимизирующий М5\С 2012 /ОрО 


; определим ipl как "аа", 1р2 как "сс", 1р3 как "bb", 1р4 как "аа". 


_1р1$ = 8 ; size = 1 
_1р2$ = 12 ; size = 1 
_1р3$ = 16 ; size = 1 
_1р4$ = 20 ; size = 1 


_Тогт ІР PROC 
movzx eax, BYTE РТВ _1р1$[е5р-4] 
; EAX=000000dd 
movzx ecx, BYTE РТВ _ip2$[esp-4] 
; ECX=000000cc 


shl eax, 8 
; EAX=0000dd00 
or eax, ecx 


; EAX=0000ddcc 
movzx ecx, BYTE РТВ _ip3$[esp-4] 
; ECX=000000bb 


shl eax, 8 
; EAX=00ddcc00 
or eax, ecx 


; EAX=00ddccbb 
movzx ecx, BYTE РТВ _ip4$[esp-4] 
; ECX=000000aa 


shl eax, 8 
; EAX=ddccbb00 
or eax, ecx 


; EAX=ddccbbaa 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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геї 0 
_Тогт ІР ЕМОР 


Можно сказать, что каждый байт записывается в младшие 8 бит возвращаемо- 
го значения, и затем возвращаемое значение сдвигается на один байт влево 
на каждом шаге. 


Повторять 4 раза, для каждого байта. 


Вот и всё! К сожалению, наверное, нет способа делать это иначе. Не существу- 
ет более-менее популярных CPU или ISA, где имеется инструкция для сборки 
значения из бит или байт. Обычно всё это делает сдвигами бит и логическим 
сложением (ОВ). 


3.7.3. рипЕ а$_1Р() 


ргіпї аѕ ІР() делает наоборот: расщепляет 32-битное значение на 4 байта. 


Расщепление работает немного проще: просто сдвигайте входное значение на 
24, 16, 8 или 0 бит, берите биты с нулевого по седьмой (младший байт), вот и 
всё: 


Листинг 3.11: Неоптимизирующий MSVC 2012 


_а$ = 8 ; 51е = 4 
_рг1пЕ аѕ ІР PROC 

push ebp 

mov ebp, esp 

mov eax, DWORD PTR _a$[ebp] 

; EAX=ddccbbaa 

and eax, 255 

; EAX=000000aa 

push eax 

mov ecx, DWORD PTR _a$[ebp] 

; ECX=ddccbbaa 

shr ecx, 8 

; ECX=00ddccbb 

and ecx, 255 

; ECX=000000bb 

push ecx 

mov edx, DWORD PTR _a$[ebp] 

; EDX=ddccbbaa 

shr edx, 16 

; EDX=0000ddcc 

and edx, 255 

; EDX=000000cc 

push edx 

mov eax, DWORD PTR _a$[ebp] 

; EAX=ddccbbaa 

shr eax, 24 

; EAX=000000dd 

and eax, 255 ; возможно, избыточная инструкция 

; ЕАХ=000000аа 

push eax 
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риѕћ OFFSET $562973 ; '%9.%4.%4.%4' 
call DWORD РТА _imp_ printf 


add esp, 20 
pop ebp 
ret 0 


_рг1пЕ аѕ ІР ЕМОР 


Оптимизирующий М5\/С 2012 делает почти всё то же самое, только без ненуж- 
ных перезагрузок входного значения: 


Листинг 3.12: Оптимизирующий MSVC 2012 /ОрО 


_а$ = 8 ; 51е = 4 
_рг1пЕ аѕ ТР PROC 
mov ecx, DWORD PTR _a$[esp-4] 
; ECX=ddccbbaa 
movzx eax, cl 
; EAX=000000aa 


push eax 

mov eax, ecx 
; EAX=ddccbbaa 
shr eax, 8 

; EAX=00ddccbb 
and eax, 255 
; EAX=000000bb 
push eax 

mov eax, ecx 
; EAX=ddccbbaa 
shr eax, 16 
; EAX=0000ddcc 
and eax, 255 
; EAX=000000cc 
push eax 

; ECX=ddccbbaa 
shr ecx, 24 
; ECX=000000dd 
push ecx 


push OFFSET $563020 ; '%d.%d.%d.%d' 
call DWORD PTR _imp_ printf 
add esp, 20 
ret 0 
_рг1пЕ аѕ ІР ЕМОР 


3.7.4. огт пеётаѕк() и set_bit() 


Ғогт петаѕк() делает сетевую маску из СШЮВ-нотации. 


Конечно, было бы куда эффективнее использовать здесь какую-то уже гото- 
вую таблицу, но мы рассматриваем это именно так, сознательно, для демон- 
страции битовых сдвигов. Мы также сделаем отдельную функцию set 61+ (). 


Не очень хорошая идея выделять отдельную функцию для такой примитивной 
операции, но так будет проще понять, как это всё работает. 
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Листинг 3.13: Оптимизирующий MSVC 2012 /ОрО 


_input$ = 8 ; 51те = 4 

611$ = 12 ; 51те = 4 

_ѕеї bit PROC 
mov ecx, DWORD PTR _61%$[е5р-4] 
mov eax, 1 
shl eax, cl 
or eax, DWORD PTR _input$[esp-4] 
ret 0 


_ѕеї 51+ ЕМОР 


_пеїтаѕк 6115$ = 8 ; size = 1 
_Тогт пефтазК PROC 
push ebx 


push esi 

movzx esi, BYTE PTR _netmask bits$[esp+4] 

xor ecx, ecx 

xor bl, bl 

test esi, esi 

jle SHORT $LN9@form_ netma 

xor edx, edx 
$LL3@form_netma: 

mov eax, 31 

sub eax, edx 

push eax 

push ecx 

call _set_bit 

inc bl 

movzx edx, bl 

add esp, 8 

mov ecx, eax 

cmp edx, esi 

jl SHORT $LL3@form_ петта 
$LN9@form_netma: 

pop esi 

mov eax, ecx 

pop ebx 

ret 0 


_form netmask ЕМОР 


set_bit() примитивна: просто сдвигает единицу на нужное количество бит, 
затем складывает (логически) с входным значением «input». form netmask() 
имеет цикл: он выставит столько бит (начиная с MSB), сколько передано в ap- 
гументе пеїтаѕк_ bits. 


3.7.5. Итог 


Вот и всё! Мы запускаем и видим: 


пефта$К=255.255.255.0 
network аййгеѕ5=10.1.2.0 
пеїтаѕ5К=255.0.0.0 
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network ааагеѕ5=10.0.0.0 
пефта$К=255.255.255.128 
network аййгеѕ5=10.1.2.0 
пеїтаѕК=255 . 255 .255.192 
network аййгеѕ5=10.1.2.64 


3.8. Циклы: несколько итераторов 


Часто, у цикла только один итератор, но в итоговом коде их может быть несколь- 
ко. 


Вот очень простой пример: 


#include <stdio.h> 
void f(int жа1, int жа2, size t cnt) 
{ 
size t i; 
// копировать из одного массива в другой по какой-то странной схеме 
for (1=0; i<cnt; i++) 
а1[1*3]=а2 [1*7]; 
}; 


Здесь два умножения на каждой итерации, а это дорогая операция. 


Сможем ли мы соптимизировать это как-то? Да, если мы заметим, что индексы 
обоих массивов перескакивают на места, рассчитать которые мы можем легко 
и без умножения. 


3.8.1. Три итератора 


Листинг 3.14: Оптимизирующий MSVC 2013 x64 


f PROC 

; RCX=a1 

; RDX=a2 

; R8=cnt 
test r8, r8 ; cnt==0? тогда выйти 
је SHORT $LN1@f 
npad 11 

$LL3@f : 
mov eax, DWORD PTR [rdx] 
lea rcx, QWORD PTR [rcx+12] 
lea rdx, QWORD PTR [rdx+28] 
mov DWORD PTR [rcx-12], eax 
dec r8 
jne SHORT $LL3@f 

$LN1@f : 
ret 0 

f ENDP 
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Теперь здесь три итератора: переменная спЁ и два индекса, они увеличивают- 
ся на 12 и 28 на каждой итерации, указывая на новые элементы массивов. 


Мы можем переписать этот код на Си/Си++: 


#include <stdio.h> 


void f(int жа1, int жа2, size t cnt) 
{ 

size t i; 

size t ійх1=0; idx2=0; 


// копировать из одного массива в другой по какой-то странной схеме 
for (1=0; i<cnt; i++) 
{ 
al[idx1]=a2[idx2]; 
іах1+=3; 
іах2+=7; 
}; 
}; 


Так что, ценой модификации трех итераторов на каждой итерации вместо од- 
ного, мы избавлены от двух операций умножения. 

3.8.2. Два итератора 

ССС 4.9 сделал еще больше, оставив только 2 итератора: 


Листинг 3.15: Оптимизирующий ССС 4.9 х64 


; А0І=а1 

; RSI=a2 

; RDX=cnt 

f: 
test rdx, rdx ; cnt==0? тогда выйти 
je .L1 

; вычислить адрес последнего элемента B "a2" и оставить его B RDX 
lea rax, [0+rdx*4] 

; RAX=RDX*4=cnt*4 
sal rdx, 5 

; RDX=RDX<<5=cnt*32 
sub rdx, rax 

; RDX=RDX-RAX=cnt*32-cnt*4=cnt*28 
add rdx, rsi 

; RDX=RDX+RSI=a2+cnt*28 

„L3: 
mov eax, DWORD PTR [rsi] 
add rsi, 28 
add rdi, 12 
mov DWORD PTR [rdi-12], eax 
cmp rsi, rdx 
jne ‚13 

211: 
гер геї 
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Здесь больше нет переменной-счетчика: ССС рассудил, что она не нужна. 


Последний элемент массива а2 вычисляется перед началом цикла (а это про- 
СТО: сё» 7), и при помощи этого цикл останавливается: просто исполняйте его 
пока второй индекс не сравняется с предварительно вычисленным значением. 


Об умножении используя сдвиги/сложения/вычитания, читайте здесь: 
1.24.1 (стр. 276). 


Этот код можно переписать на Си/Си+ +вот так: 


#include <stdio.h> 


void f(int жа1, int жа2, size t cnt) 


{ 
size t 14х1=0; idx2=0; 
size t last_idx2=cnt*7; 
// копировать из одного массива в другой по какой-то странной схеме 
for (;;) 
{ 
а1[іах1]=а2 [19х2]; 
іах1+=3; 
19х2+=7 ; 
if (1ах2==1аѕ1 іах2) 
ргеак; 
}; 
}; 


ССС (Linaro) 4.9 для АКМ64 делает тоже самое, только предварительно вычис- 
ляет последний индекс массива al вместо a2, а это, конечно, имеет тот же 


эффект: 
Листинг 3.16: Оптимизирующий ССС (Linaro) 4.9 ARM64 


; X0=a1 
; Х1=а2 
; Х2=спї 
f: 
cbz X2; «LI ; cnt==0? тогда выйти 
; вычислить последний элемент массива "а1" 
ааа х2, х2, х2, 151 1 
; Х2=Х2+Х2<<1=Х2+Х2*2=Х2*3 
тоу x3, 0 
151 х2, х2, 2 
; Х2=Х2<<2=Х2*4=Х2*3*4=Х2*12 
.ЕЗ: 
1аг м4, [х1],28 ; загружать по адресу в X1, прибавить 28 к X1 
(пост -инкремент) 
str м4, [x0,x3] ; записать по адресу B X0+X3=a1+X3 
add x3, x3, 12 ; сдвинуть ХЗ 
стр x3, х2 ‚ конец? 
рпе 13 
211: 
ret 
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ССС 4.4.5 для MIPS делает то же самое: 


Листинг 3.17: Оптимизирующий ССС 4.4.5 для MIPS (IDA) 


; фаб=а1 
; фа1=а2 
; $a2=cnt 


; переход на код проверки в цикле: 
beqz $a2, locret_24 

; инициализировать счетчик (1) в 0: 
поме $0, $zero ; branch delay slot, МОР 


loc 8: 
; загрузить 32-битное слово B $al 
1м фаз, 0($а1) 
; инкремент счетчика (1): 
addiu $v0, 1 
; проверка на конец (сравнить "i" в $%0 n "спї" в $a2): 
51 Чи $\1, $\%0, $а2 
; сохранить 32-битное слово в $а0: 
SW $a3, 0($а0) 
; прибавить 0х1С (28) k $al на каждой итерации: 
addiu $al, 0х1С 
; перейти на тело цикла, если i<cnt: 
bnez $v1, loc 8 
; прибавить 0хС (12) к $а0 на каждой итерации: 
addiu $a0, 0хС ; branch delay slot 


locret_24: 
jr $ra 
or $at, $zero ; branch delay slot, NOP 


3.8.3. Случай Intel С++ 2011 


Оптимизации компилятора могут быть очень странными, но, тем не менее, кор- 
ректными. 


Вот что делает Intel С++ 2011: 


Листинг 3.18: Оптимизирующий Intel С++ 2011 x64 


f PROC 

; parameter 1: rcx = al 
; parameter 2: rdx = a2 
; parameter 3: r8 = cnt 


.В1.1:: 
test r8, r8 
jbe exit 
.B1.2 
cmp r8, 6 
jbe just_copy 
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.В1.3:: 


.В1.4:: 


.В1.5:: 


.В1.6:: 


јчѕї сору2:: 


; R8 = cnt 
; RDX = a2 
; RCX = al 


.В1.8:: 


јчѕї сору: : 
; Ё = cnt 
; ВОХ = а2 
; ВСХ = а1 
хог 
хог 
хог 


.В1.11:: 


rcx, гах 
.В1.5 


г10, г8 

г9, гсх 

r10, 5 

гах, ОМОВО РТВ [г8ж4] 
г9, гах 


г10, гах 
r9, г10 
јчѕї сору2 
гах, rcx 
јчѕї сору 
r9, гах 


гах, ОМОВО РТВ [г8*8] 

г9, гсх 

r10, QWORD PTR [гах+г8ж4] 
r9, r10 

just_copy 


г10а, г10а 
г9а, га 
еах, еах 


г11а, DWORD РТВ [гах+гах] 
г10 

DWORD РТА [г9+гсх], г11а 
r9, 12 


гах, 28 
г10, гё 
.В1.8 

ехії 

г10а, г10а 
г9а, га 
еах, еах 
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тоу г11а, DWORD РТВ [гах+гах] 
inc r10 
mov DWORD РТВ [r9+rcx], г11а 
add r9, 12 
add rax, 28 
cmp r10, r8 
jb .B1.11 
exit: : 
ret 


В начале, принимаются какие-то решения, затем исполняется одна из проце- 
дур. 


Видимо, это проверка, не пересекаются ли массивы. 


Это хорошо известный способ оптимизации процедур копирования блоков в 
памяти. 


Но копирующие процедуры одинаковые! Видимо, это ошибка оптимизатора 
Intel С++, который, тем не менее, генерирует работоспособный код. 


Мы намеренно изучаем примеры такого кода в этой книге чтобы читатель мог 
понимать, что результаты работы компилятором иногда бывают крайне стран- 
ными, но корректными, потому что когда компилятор тестировали, тесты про- 
шли нормально. 


3.9. Duff’s device 


Duff's device это развернутый цикл с возможностью перехода в середину цик- 
ла. Развернутый цикл реализован используя ?аїћгоидһ-выражение switch(). Мы 
будем использовать здесь упрощенную версию кода Тома Даффа. Скажем, нам 
нужно написать функцию, очищающую регион в памяти. Кто-то может поду- 
мать о простом цикле, очищающем байт за байтом. Это, очевидно, медленно, 
так как все современные компьютеры имеют намного более широкую шину 
памяти. Так что более правильный способ — это очищать регион в памяти бло- 
ками по 4 или 8 байт. Так как мы будем работать с 64-битным примером, мы 
будем очищать память блоками по 8 байт. 


Пока всё хорошо. Но что насчет хвоста? Функция очистки памяти будет также 
вызываться и для блоков с длиной не кратной 8. 


Вот алгоритм: 


• вычислить количество 8-байтных блоков, очистить их используя 8-байтный 
(64-битный) доступ к памяти; 


• вычислить размер хвоста, очистить его используя 1-байтный доступ к па- 
MATN. 


Второй шаг можно реализовать, используя простой цикл. Но давайте реализу- 
ем его используя развернутый цикл: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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#include <stdint.h> 
#include <stdio.h> 


void bzero(uint8_ їж dst, size_t count) 


{ 

int i; 

if (count&(~7)) 
// обработать 8-байтные блоки 
for (1=0; i<count>>3; i++) 
{ 

x(uint64 t»)dst=0; 
dst=dst+8; 

}; 

// обработать хвост 

switch(count & 7) 

{ 

case 7: »dst++ = 0; 

case 6: *05ї++ = 0; 

case 5: жӣ5ї++ = 0; 

case 4: жй51++ = 0; 

case 3: »dst++ = 0; 

case 2: »dst++ = 0; 

case 1: »dst++ = 0; 

саѕе 0: // ничего не делать 
ргеак; 

} 

} 


В начале разберемся, как происходят вычисления. Размер региона в памяти 


приходит в 64-битном значении. И это значение можно разделить на две части: 
7 6 5432 то 


В|В|В|В|В!5 5 5 


( «В» это количество 8-байтных блоков и «5» это длина хвоста в байтах ). 


Если разделить размер входного блока в памяти на 8, то значение просто сдви- 
гается на З бита вправо. Но для вычисления остатка, нам нужно просто изоли- 
ровать младшие З бита! Так что количество 8-байтных блоков вычисляется как 
count >> 3, а остаток как count&7. В начале, нужно определить, будем ли мы BO- 
обще исполнять 8-байтную процедуру, так что нам нужно узнать, не больше 
ЛИ count чем 7. Мы делаем это очищая младшие 3 бита и сравнивая результат 
с нулем, потому что, всё что нам нужно узнать, это ответ на вопрос, содержит 
ли старшая часть значения count ненулевые биты. Конечно, это работает NOTO- 
му что 8 это 23, так что деление на числа вида 2” это легко. Это невозможно с 
другими числами. 


А на самом деле, трудно сказать, стоит ли пользоваться такими хакерскими 
трюками, потому что они приводят к коду, который затем тяжело читать. 


С другой стороны, эти трюки очень популярны и практикующий программист, 
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хотя может и не использовать их, всё же должен их понимать. 


Так что первая часть простая: получить количество 8-байтных блоков и запи- 
сать 64-битные нулевые значения в память. 


Вторая часть — это развернутый цикл реализованный как ?аїћгоидһ-выражение 
switch(). 


В начале, выразим на понятном русском языке, что мы хотим сделать. 


Мы должны «записать столько нулевых байт в память, сколько указано в зна- 
чении соитё& 7». 


Если это 0, перейти на конец, больше ничего делать не нужно. 


Если это 1, перейти на место внутри выражения switch(), где произойдет толь- 
ко одна операция записи. 


Если это 2, перейти на другое место, где две операции записи будут испол- 
нены, и т. д. 7 во входном значении приведет к тому что исполнятся все 7 
операций. 


8 здесь нет, потому что регион памяти размером в 8 байт будет обработан 
первой частью нашей функции. 


Так что мы сделали развернутый цикл. Это однозначно работало быстрее обыч- 
ных циклов на старых компьютерах (и наоборот, на современных процессорах 
короткие циклы работают быстрее развернутых). 


Может быть, это всё еще может иметь смысл на современных маломощных 
дешевых МСИ9. 


Посмотрим, что сделает оптимизирующий М5\С 2012: 


051$ = 8 
count$ = 16 
bzero PROC 
test rdx, -8 
je SHORT $LN11@bzero 
; обработать 8-байтные блоки 
хог г10а, г10а 
mov r9, rdx 
shr r9, 3 
mov r8d, r10d 
test r9, r9 
je SHORT $LN11@bzero 
npad 5 
$LL19@bzero: 
inc r8d 
mov QWORD PTR [rcx], r10 
add rcx, 8 
movsxd rax, r8d 
cmp rax, r9 
jb SHORT $LL19@bzero 
$LN11@bzero: 


Microcontroller Unit 
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; обработать хвост 


апа edx, 7 
дес гах 
стр гах, 6 
та SHORT $LN9@bzero 
lea r8, OFFSET FLAT: _ ТмадеВазе 
mov eax, DWORD PTR $LN22@bzero[r8+rdx*4] 
add rax, r8 
jmp rax 
$LN8@bzero: 
mov BYTE PTR [rcx], ө 
inc rcx 
$LN7@bzero: 
mov BYTE PTR [rcx], ө 
inc rcx 
$LN6@bzero: 
mov BYTE PTR [rcx], ө 
inc rcx 
$LN5@bzero: 
mov BYTE PTR [rcx], 0 
inc rcx 
$LN4@bzero: 
mov BYTE PTR [rcx], 0 
inc rcx 
$LN3@bzero: 
mov BYTE PTR [rcx], ө 
inc rcx 
$LN2@bzero: 
mov BYTE PTR [rcx], ө 
$LN9@bzero: 
fatret 0 
npad 1 
$LN22@bzero: 
DD $LN2@bzero 
DD $LN3@bzero 
DD $LN4@bzero 
DD $LN5@bzero 
DD $LN6@bzero 
DD $LN7@bzero 
DD $LN8@bzero 
bzero ENDP 


Первая часть функции выглядит для нас предсказуемо. 


Вторая часть — это просто развернутый цикл и переход передает управление 
на нужную инструкцию внутри него. 


Между парами инструкций МО\У/ТМС никакого другого кода нет, так что исполне- 
ние продолжается до самого конца, исполняются столько пар, сколько нужно. 


Кстати, мы можем заметить, что пара МО\/ТМС занимает какое-то фиксирован- 
ное количество байт (3+3). 


Так что пара занимает 6 байт. Зная это, мы можем избавиться от таблицы пере- 
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ходов в switch(), мы можем просто умножить входное значение на 6 и перейти 
на текущий ВТР + входное значение * 6. 


Это будет также быстрее, потому что не нужно будет загружать элемент из 
таблицы переходов (jumptable). 


Может быть, 6 не самая подходящая константа для быстрого умножения, и 
может быть оно того и не стоит, но вы поняли идею". 


Так в прошлом делали с развернутыми циклами олд-скульные демомейкеры. 


3.9.1. Нужно ли использовать развернутые циклы? 


Развернутые циклы могут иметь преимущества если между ВАМ и СРО нет 
быстрой кэш-памяти и CPU, чтобы прочитать код очередной инструкции, BON- 
жен загружать её каждый раз из ВАМ. Это случай современных маломощных 
MCU и старых CPU. 


Развернутые циклы будут работать медленнее коротких циклов, если есть 
быстрый кэш между ВАМ и СРО и тело цикла может поместиться в кэш и СРО 
будет загружать код оттуда не трогая ВАМ. Быстрые циклы это циклы у кото- 
рых тело помещается в 1-кэш, но еще более быстрые циклы это достаточно 
маленькие, чтобы поместиться в кэш микроопераций. 


3.10. Деление используя умножение 


Простая функция: 


int f(int а) 
{ 


}; 


return а/9; 


3.10.1. х86 


...компилируется вполне предсказуемо: 


Листинг 3.19: MSVC 


_а$ = 8 ; 51те = 4 
f PROC 
push ebp 
mov ebp, esp 
mov eax, DWORD PTR _a$[ebp] 
cdq ; знаковое расширение EAX до EDX :EAX 
mov ecx, 9 
idiv ecx 
pop ebp 


10B качестве упражнения, вы можете попробовать переработать этот код и избавиться от табли- 
цы переходов. Пару инструкций тоже можно переписать так что они будут занимать 4 байта или 
8. 1 байт тоже возможен (используя инструкцию 5Т05В). 
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геї 0 
+ ЕМОР 


IDIV делит 64-битное число хранящееся в паре регистров EDX: EAX на значение 
в ЕСХ. В результате, ЕАХ будет содержать частное, а ЕРХ— остаток от деления. 
Результат возвращается из функции через ЕАХ, так что после операции деле- 
ния, это значение не перекладывается больше никуда, оно уже там, где надо. 


Из-за того, что ТОТ\ требует пару регистров ЕБХ :ЕАХ, то перед этим инструк- 
ция CDQ расширяет EAX до 64-битного значения учитывая знак, так же, как это 
делает МО\5Х. 


Со включенной оптимизацией (/0х) получается: 


Листинг 3.20: Оптимизирующий MSVC 


_а$ = 8 ; 51те = 4 
f PROC 

mov ecx, DWORD PTR _a$[esp-4] 
mov eax, 954437177 ; 38e38e39H 
imul ecx 
sar edx, 1 
mov eax, edx 
shr eax, 31 ; 0000001fH 
add eax, edx 
ret 0 

Е ЕМОР 


Это — деление через умножение. Умножение конечно быстрее работает. По- 
этому можно используя этот трюк 11 создать код эквивалентный тому что мы 
хотим и работающий быстрее. 


В оптимизации компиляторов, это также называется «strength reduction». 


ССС 4.4.1 даже без включенной оптимизации генерирует примерно такой же 
код, как и MSVC с оптимизацией: 


Листинг 3.21: Неоптимизирующий ССС 4.4.1 


public f 
f proc near 


arg © = dword ptr 8 


push ebp 

mov ebp, esp 

mov ecx, [ebp+arg_0] 

mov edx, 954437177 ; 38E38E39h 
mov eax, ecx 

imul edx 

sar edx, 1 

mov eax, ecx 


11Читайте подробнее о делении через умножение в [Henry S. Warren, Hacker's Delight, (2002)10-3] 
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sar eax, 1Fh 
mov ecx, edx 
sub ecx, eax 
mov eax, ecx 
pop ebp 
retn 

f endp 


3.10.2. Как это работает 


Из школьной математики, мы можем вспомнить, что деление на 9 может быть 
заменено на умножение на 5. На самом деле, для чисел с плавающей точкой, 
иногда компиляторы так и делают, например, инструкция FDIV в х86-коде mo- 
жет быть заменена на FMUL. По крайней мере MSVC 6.0 заменяет деление на 9 
на умножение на 0.111111... и иногда нельзя быть уверенным в том, какая опе- 
рация была в оригинальном исходном коде. 


Но когда мы работаем с целочисленными значениями и целочисленными реги- 
страми СРО, мы не можем использовать дроби. Но мы можем переписать дробь 
так: 


Щи... 1 МадеМитфет 
result = 0219 1 9.МадісМитфет 


Учитывая тот факт, что деление на 2" очень быстро (при помощи сдвигов), те- 
перь нам нужно найти такой MagicNumber, для которого следующее уравнение 
будет справедливо: 2" = 9. MagicNumber. 


Деление на 2%? в каком-то смысле скрыто: младшие 32 бита произведения в 
EAX не используются (выкидываются), только старшие 32 бита произведения 
(в EDX) используются и затем сдвигаются еще на 1 бит. 
с б 954487177 
Другими словами, только что увиденный код на ассемблере умножает на 930+, 
932+1 В 
или делит на 954437177. Чтобы найти делитель, нужно просто разделить числи- 


тель на знаменатель. Используя Wolfram Alpha, мы получаем результат 8.99999999.... 


(что близко к 9). 
Читайте больше об этом в [Henry S. Warren, Наскег’5 Delight, (2002)10-3]. 


Многие люди не замечают “скрытое” деление на 2°? или 26, когда младшая 32- 
битная часть произведения (или 64-битная) не используется. Поэтому деление 
через умножение в коде поначалу трудно для понимания. 


В Mathematical Аесіреѕ:2есть еще одно объяснение. 


3.10.3. АКМ 


В процессоре ARM, как и во многих других «чистых» (риге) В!5С-процессорах 
нет инструкции деления. Нет также возможности умножения на 32-битную 
константу одной инструкцией (вспомните что 32-битная константа просто не 
поместится в 32-битных опкод). 


12https://math. recipes 
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При помощи этого любопытного трюка (или хака)!?, можно обойтись только 


тремя действиями: сложением, вычитанием и битовыми сдвигами (1.28 (стр. 389)). 


Пример деления 32-битного числа на 10 из [Advanced RISC Machines Ltd, Тре 
АКМ Cookbook, (1994)3.3 Division Бу а Constant]. На выходе и частное и остаток. 


; takes argument іп al 
; returns quotient in al, remainder in a2 
; cycles could be saved if only divide or remainder is required 
SUB a2, al, #10 ; keep (x-10) for later 
SUB al, al, al, lsr #2 
ADD al, al, al, lsr #4 
ADD al, al, al, lsr #8 
ADD al, al, al, lsr #16 
MOV al, al, lsr #3 
ADD a3, al, al, asl #2 


SUBS a2, a2, a3, asl #1 ; calc (х-19) - (х/10)*10 
ADDPL al, al, #1 ; fix-up quotient 
ADDMI a2, a2, #10 ; fix-up remainder 


MOV pc, lr 


Оптимизирующий Xcode 4.6.3 (LLVM) (Режим ARM) 


_ text:00002C58 39 1E 08 ЕЗ ЕЗ 18 43 ЕЗ MOV R1, 0x38E38E39 


_ text:00002C60 10 F1 50 E7 SMMUL RO, RO, R1 

_ text:00002C64 СО 10 Аб El MOV R1, RO,ASR#1 

_ text:00002C68 Аб OF 81 EO ADD RO, R1, RO,LSR#31 
_ text:00002C6C 1E FF 2F El BX LR 


Этот код почти тот же, что сгенерирован MSVC n GCC в режиме оптимизации. 
Должно быть, ШММ использует тот же алгоритм для поиска констант. 


Наблюдательный читатель может спросить, как MOV записала в регистр сразу 
32-битное число, ведь это невозможно в режиме ARM. 


Действительно невозможно, но как мы видим, здесь на инструкцию 8 байт вме- 
сто стандартных 4-х, на самом деле, здесь 2 инструкции. 


Первая инструкция загружает в младшие 16 бит регистра значение 0х8ЕЗ9, а 
вторая инструкция, на самом деле MOVT, загружающая в старшие 16 бит pern- 
стра значение 0х383Е. 


IDA легко распознала эту последовательность и для краткости, сократила всё 
это до одной «псевдо-инструкции». 


Инструкция SMMUL (Signed Most Significant Word Multiply) умножает числа cyn- 
тая их знаковыми (signed) и оставляет B RO старшие 32 бита результата, не 
сохраняя младшие 32 бита. 


Инструкция«МОУ R1, В0,А$В#1» это арифметический сдвиг право на один бит. 
«ADD RO, R1, КО, 15В#31» это д0 = R1 + R0 >> 31 


13Наск 
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Дело в том, что в режиме ARM нет отдельных инструкций для битовых сдвигов. 


Вместо этого, некоторые инструкции (MOV, ADD, SUB, В$В)14 могут быть допол- 
нены суффиксом, сдвигать ли второй операнд и если да, то на сколько и как. 


ASR означает Arithmetic Shift Right, LSR — Logical Shift Right. 


Оптимизирующий Xcode 4.6.3 (ШММ) (Режим Thumb-2) 


MOV R1, 0x38E38E39 
SMMUL.W RO, RO, R1 

ASRS R1, RO, #1 

ADD.W RO, R1, RO,LSR#31 
BX LR 


В режиме Thumb отдельные инструкции для битовых сдвигов есть, и здесь 
применяется одна из них — ASRS (арифметический сдвиг вправо). 
Неоптимизирующий Xcode 4.6.3 (ШУМ) и Кей! 6/2013 


Неоптимизирующий ШММ не занимается генерацией подобного кода, а вместо 
этого просто вставляет вызов библиотечной функции __divsi3. 


А Кей во всех случаях вставляет вызов функции __аеаб! idivmod. 


3.10.4. MIPS 


По какой-то причине, оптимизирующий ССС 4.4.5 сгенерировал просто инструк- 
цию деления: 


Листинг 3.22: Оптимизирующий ССС 4.4.5 (IDA) 


f: 
li $v0, 9 
bnez $у0, loc 10 
div фаб, $v0 ; branch delay slot 
break 0х1С00 ; "break 7" в ассемблерном выводе и в 
06] аитр 
Тос 10: 
mflo $\0 
jr $ra 
or $at, $zero ; branch delay slot, NOP 


И кстати, мы видим новую инструкцию: BREAK. Она просто генерирует исклю- 
чение. 


В этом случае, исключение генерируется если делитель 0 (потому что в обыч- 
ной математике нельзя делить на ноль). 


Но компилятор ССС наверное не очень хорошо оптимизировал код, и не заме- 
тил, что $\0 не бывает нулем. Так что проверка осталась здесь. 


14Эти инструкции также называются «data processing instructions» 
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Так что если $\/0 будет каким-то образом 0, будет исполнена ВВЕАК, сигнали- 
зирующая в ОС об исключении. 


В противном случае, исполняется MFLO, берущая результат деления из pern- 
стра LO и копирующая его в $\0. 


Кстати, как мы уже можем знать, инструкция MUL оставляет старшую 32-битную 
часть результата в регистре НІ и младшую 32-битную часть в LO. 


ОМ оставляет результат в регистре 10 и остаток в НІ. 


Если изменить выражение на «а % 9», вместо инструкции МҒІО будет исполь- 
зована МЕНІ. 


3.10.5. Упражнение 
e Пр: //сһа11епдеѕ. ге/27 


3.11. Конверсия строки в число (аёоі()) 


Попробуем реализовать стандарту функцию Си atoi(). 


3.11.1. Простой пример 


Это самый простой способ прочитать число, представленное в кодировке ASCII. 


Он не защищен от ошибок: символ отличный от цифры приведет к неверному 
результату. 


#include <stdio.h> 
int my_atoi (char *s) 
{ 
int rt=0; 
while (ж) 
{ 
rt=rtx10 + (ж5-'0'); 
S++; 
}; 
return rt; 
}; 
int main() 
{ 
printf ("%d\n", my_atoi ("1234")); 
printf ("%d\n", my_atoi ("1234567890") ); 
}; 


То, что делает алгоритм это просто считывает цифры слева направо. 
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Символ нуля в ASCII вычитается из каждой цифры. 


Цифры от «0» до «9» расположены по порядку в таблице ASCII, так что мы 
даже можем и не знать точного значения символа «0». 


Всё что нам нужно знать это то что «0» минус «0» — это 0, а «9» минус «0» это 
9, ит. д. 


Вычитание «0» от каждого символа в итоге дает число от 0 до 9 включительно. 
Любой другой символ, конечно, приведет к неверному результату! 


Каждая цифра добавляется к итоговому результату (в переменной «гї»), но 
итоговый результат также умножается на 10 на каждой цифре. 


Другими словами, на каждой итерации, результат сдвигается влево на одну 
позицию в десятичном виде. 


Самая последняя цифра прибавляется, но не сдвигается. 


Оптимизирующий М$\С 2013 x64 


Листинг 3.23: Оптимизирующий MSVC 2013 x64 


5$ = 8 
ту а+оі PROC 
; загрузить первый символ 
тоу2х r8d, BYTE РТВ [rcx] 
; EAX выделен для переменной "rt" 
; В начале там 0 
хог еах, еах 
; первый символ - это нулевой байт, т.е., конец строки? 
; тогда выходим. 
test r8b, r8b 


je SHORT $LN9@my atoi 
$LL2@my atoi: 
lea edx, DWORD PTR [rax+rax*4] 


; EDX=RAX+RAX*4=rt+rt*4=rt*5 
movsx eax, r8b 
; ЕАХ=входной символ 
; загрузить следующий символ в В8р 
тоу2х r8d, BYTE РТВ [гсх+1] 
; передвинуть указатель в ВСХ на следующий символ: 
Теа rcx, QWORD РТВ [гсх+1] 
lea eax, DWORD PTR [rax+rdx*2] 
; ЕАХ=ВАХ+ВОХ*2=входной символ + гї*5*2=входной символ + rt*10 
; скорректировать цифру вычитая 48 (0x30 или '0') 
ааа eax, –48 ; ТТТТТТТТТТТТТТаОӨН 
; последний символ был нулем? 
test r8b, r8b 
; перейти на начало цикла, если нет 


jne SHORT $LL2@my atoi 
$LN9@my atoi: 
ret 0 


ту аїоі ЕМОР 
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Символы загружаются в двух местах: первый символ и все последующие сим- 
волы. 


Это сделано для перегруппировки цикла. Здесь нет инструкции для умноже- 
ния на 10, вместо этого две LEA делают это же. 


MSVC иногда использует инструкцию ADD с отрицательной константой вместо 
SUB. 


Это тот случай. Честно говоря, трудно сказать, чем это лучше, чем SUB. 


Но MSVC делает так часто. 


Оптимизирующий ССС 4.9.1 x64 


Оптимизирующий ССС 4.9.1 более краток, но здесь есть одна лишняя инструк- 
ция ВЕТ в конце. 


Одной было бы достаточно. 


Листинг 3.24: Оптимизирующий ССС 4.9.1 x64 


ту а+оі: 
; загрузить входной символ в EDX 
ПОМ5Х edx, BYTE РТВ [гаі] 
; ЕАХ выделен для переменной "гї" 
хог еах, еах 
; выйти, если загруженный символ - это нулевой байт 
test dl, dl 
je 14 
„L3: 
lea eax, [rax+rax*4] 
; EAX=RAX*5=rt*5 
; передвинуть указатель на следующий символ: 


ааа гаі, 1 
Теа eax, [гӣах-48+гахж2] 
; ЕАХ=входной символ - 48 + ВАХЖ2 = входной символ - '0' + rt*10 


; загрузить следующий символ: 
ПОМ5Х edx, BYTE РТА [гаі] 

; перейти на начало цикла, если загруженный символ - это не нулевой байт 
test dl, dl 


‚14: 
гер геї 


Оптимизирующий Кей 6/2013 (Режим ARM) 


Листинг 3.25: Оптимизирующий Кей 6/2013 (Режим АВМ) 


ту а+оі PROC 

; R1 будет содержать указатель на символ 
MOV г1, гб 

; RO будет содержать переменную "гї" 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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MOV го, #0 

B |L0.28]| 
|L0.12]| 

ADD r0,rO0,rO,LSL #2 
; RO=R0+R0O<<2=rt*5 

ADD r0,r2,r0,LSL #1 


‚ RO=s8xogHoň символ + гї*5<<1 = входной символ + гї*10 
; скорректировать, вычитая 'O' из rt: 


SUB го, го, #0х30 
; сдвинуть указатель на следующий символ: 
ADD г1,г1,#1 
[10.28 | 
; загрузить входной символ в R2 
LDRB r2,[r1,#0] 
; это нулевой байт? если нет, перейти на начало цикла. 
СМР г2,#0 
ВМЕ 110.12 | 


; выйти, если это нулевой байт. 


; переменная "гї" всё еще в регистре RO, готовая для использования в 
вызывающей ф-ции 
ВХ 1г 
ЕМОР 


Оптимизирующий Кей! 6/2013 (Режим Thumb) 


Листинг 3.26: Оптимизирующий Keil 6/2013 (Режим Thumb) 


ту а+оі PROC 
; R1 будет указателем на входной символ 


MOVS r1,r0 
; RO выделен для переменной "rt" 
MOVS го, #0 
B |L0.16| 
110.6] 
MOVS r3,#0xa 
; R3=10 
MULS r0,r3,r0 


; RO=R3*R0O=rt*10 
; передвинуть указатель на следующий символ: 


ADDS г1,г1,#1 
; скорректировать, вычитая символ нуля: 
SUBS го, го, #0х30 
ADDS г0,г2,г0 
; ГЕ=К2+В0=входной символ + (гї*10 - '0') 
10. 16 | 
; загрузить входной символ в R2 
LDRB r2,[r1,#0] 
; это ноль? 
СМР г2,#0 
; перейти на тело цикла, если нет 
ВМЕ 110.6] 
; переменная гї сейчас в RO, готовая для использования в вызывающей ф-ции 
ВХ tr 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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ЕМОР 


Интересно, из школьного курса математики мы можем помнить, что порядок 
операций сложения и вычитания не играет роли. 


Это наш случай: в начале вычисляется выражение ті + 10 –' 0’, затем к нему 
прибавляется значение входного символа. 


Действительно, результат тот же, но компилятор немного всё перегруппиро- 
вал. 
Оптимизирующий ССС 4.9.1 АВМ64 


Компилятор для АКМ64 может использовать суффикс инструкции, задающий 
пре-инкремент: 


Листинг 3.27: Оптимизирующий ССС 4.9.1 АВМ64 


ту а+оі: 
; загрузить входной символ в W1 
1агь м1, [х0] 
mov x2, x0 
; Х2=адрес входной строки 
; загруженный символ - 0? 
; перейти на выход, если это так 
; М1 будет содержать © в этом случае. 
; он будет перезагружен в WỌ на 14. 
cbz wl, .L4 
; №0 будет содержать переменную "rt" 
; инициализировать её нулем: 


mov мо, 0 

„ЇЗ: 

; вычесть 48 или '0' из входной переменной и оставить результат в W3: 
sub w3, м1, #48 


; загрузить следующий символ по адресу X2+1 B W1 
; с пре-инкрементом: 
1агь м1, [х2,1]! 
ааа №0, м0, м0, 151 2 
; WO=W0+W0<<2=W0+W0*4=rt*5 
ааа №0, м3, м0, 151 1 
; М0=входная цифра + \09<<1 = входная цифра + гї*5*2 = входная цифра + rt*10 


; если только что загруженный символ - это не нулевой байт, перейти на начало 
цикла 
cbnz wl, .13 


; значение для возврата (rt) в М0, готовое для использования в вызывающей 
ф-ции 
геї 
‚14: 
mov w0, м1 
ret 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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3.11.2. Немного расширенный пример 


Новый пример более расширенный, теперь здесь есть проверка знака «минус» 
в самом начале, и еще он может сообщать об ошибке если не-цифра была Haŭ- 


дена во входной строке: 


#include <stdio.h> 


int my_atoi (char жѕ) 


{ 
int negative=0; 
int rt=0; 
if (*5=='-') 
{ 
negative=1; 
S++; 
$; 
while (ж5) 
{ 
if (ж5<'0' || ж5>'9') 
{ 
printf ("Еггог! Unexpected char: '%c'\n", жѕ); 
exit(0); 
}; 
гі=гїж10 + (ж5-'0'); 
S++; 
$; 
if (negative) 
return -rt; 
return rt; 
$; 
int main() 
{ 
printf ("%d\n", my_atoi ("1234")); 
printf ("%d\n", my_atoi ("1234567890")); 
printf ("%d\n", my _ atoi ("-1234")); 
printf ("%d\n", my_atoi ("-1234567890")); 
printf ("%d\n", my atoi ("-a1234567890")); // error 
$; 


Оптимизирующий ССС 4.9.1 x64 


Листинг 3.28: Оптимизирующий ССС 4.9.1 x64 


.LCO: 
.String "Error! Unexpected char: '%c'\n" 


my_atoi: 
sub rsp, 8 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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movsx edx, BYTE PTR [rdi] 
; проверка на знак минуса 


стр dl, 45; '-' 
је ‚122 
хог еѕі, еѕі 
test dl, dl 
je . L20 
.L10: 
; Е51=0 здесь, если знака минуса не было, или 1 в противном случае 
Теа eax, [гах-48] 


; любой символ, отличающийся от цифры в результате 
; даст беззнаковое число больше 9 после вычитания 
; так что если это не число, перейти на 14, 

; где будет просигнализировано об ошибке: 


стр а1, 9 
ја 14 
хог еах, еах 
јтр ‚16 
217: 
lea ecx, [rdx-48] 
cmp cl, 9 
ja 14 
‚16: 
lea eax, [rax+rax*4] 
add rdi, 1 
lea eax, [rdx-48+rax*2] 


movsx edx, BYTE PTR [rdi] 

test dl, dl 

jne ‚17 
; если знака минуса не было, пропустить инструкцию МЕС 
; а если был, то исполнить её. 


test esi, esi 
je 118 
пед еах 
‚118: 
ааа rsp, 8 
геї 
.122: 
movsx edx, BYTE PTR [rdi+1] 
lea rax, [rdi+1] 
test dl, dl 
je ‚120 
тоу гаі, гах 
mov esi, 1 
jmp .L10 
.L20: 
xor eax, eax 
jmp .L18 
‚14: 
; сообщить об ошибке. символ в EDX 
mov edi, 1 
mov esi, OFFSET FLAT:.LCO ; "Error! Unexpected char: '%c'\n" 
xor eax, eax 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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call _printf_chk 
xor edi, edi 
call exit 


Если знак «минус» был найден в начале строки, инструкция МЕС будет испол- 
нена в конце. 


Она просто меняет знак числа. 


Еще кое-что надо отметить. Как среднестатистический программист будет про- 
верять, является ли символ цифрой? 


Так же, как иу нас в исходном коде: 


if (*5<'0' || ж5>'9') 


Здесь две операции сравнения. Но что интересно, так это то что мы можем 
заменить обе операции на одну: 


просто вычитайте «0» из значения символа, считается результат за беззнако- 
вое значение (это важно) и проверьте, не больше ли он чем 9. 


Например, скажем, строка на входе имеет символ точки («.»), которая имеет 
код 46 в таблице ASCII. 


46 – 48 = -2 если считать результат за знаковое число. Действительно, символ 
точки расположен на два места раньше, чем символ «0» в таблице ASCII. 


Но это 0хЕЕЕЕЕЕЕЕ (4294967294) если считать результат за беззнаковое значе- 
ние, и это точно больше чем 9! 


Компиляторы часто так делают, важно распознавать эти трюки. 
Еще один пример подобного в этой книге: 3.17.1 (стр. 680). 
Оптимизирующий MSVC 2013 x64 применяет те же трюки. 


Оптимизирующий Кей 6/2013 (Режим АВМ) 


Листинг 3.29: Оптимизирующий Кей 6/2013 (Режим АВМ) 


ту аїоі PROC 


PUSH {г4-г6,1г} 

MOV г4 , го 

ОАВ го, [r0,#0] 

MOV r6, #0 

MOV r5,r6 

CMP r0,#0x2d '-' 
; R6 будет содержать 1 если минус был встречен, или 0 в противном случае 

MOVEQ r6,#1 

ADDEQ r4,r4,#1 

B 1.0.80 | 
1.0.36 | 

SUB г0,г1,#0х30 

СМР гб, #0ха 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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ВСС |109. 64 | 

ADR го, |10.220 | 

BL _ 2printf 

MOV гб, #0 

BL exit 
|L0.64| 

LDRB го, [r4], #1 

ADD rl1,r5,r5,LSL #2 

ADD r0,rO,r1,LSL #1 

SUB r5,r0,#0x30 
1.0.80 | 

LDRB r1,[r4,#0] 

CMP r1,#0 

BNE [10.36 | 

СМР гб, #0 


; поменять знак в переменной результата 
RSBNE го, г5, #0 
MOVEQ r0,r5 


POP {r4-r6, pc} 
ENDP 
|L0.220]| 
DCB "Error! Unexpected char: '%с'\п",0 


В 32-битном ARM нет инструкции МЕС, так что вместо этого используется one- 
рация «Reverse Subtraction» (строка 31). 


Она сработает если результат инструкции СМР (на строке 29) был «Not Equal» 
(не равно, отсюда суффикс -NE suffix). 


Что делает В$ВМЕ это просто вычитает результирующее значение из нуля. 
Она работает, как и обычное вычитание, но меняет местами операнды. 
Вычитание любого числа из нуля это смена знака: 0-х = -х. 

Код для режима Thumb почти такой же. 


ССС 4.9 для АКМ64 может использовать инструкцию МЕС, доступную в ARM64. 


3.11.3. Упражнение 


Кстати, security геѕеагсһ-еры часто имеют дело с непредсказуемым поведени- 
ем программ во время обработки некорректных данных. Например, во время 
fuzzing-a. 


В качестве упражнения, вы можете попробовать ввести символы не относящи- 
еся к числам и посмотреть, что случится. 


Попробуйте объяснить, что произошло, и почему. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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3.12. тПпе-функции 


їпїпе-код это когда компилятор, вместо того чтобы генерировать инструкцию 
вызова небольшой функции, просто вставляет её тело прямо в это место. 


Листинг 3.30: Простой пример 


#include <stdio.h> 


int celsius_to_fahrenheit (int celsius) 


{ 
return celsius * 9 / 5 + 32; 
}; 
int main(int argc, char жагду[]) 
{ 
int celsius=atol(argv[1]); 
printf ("%d\n", celsius_to fahrenheit (celsius)); 
}; 


...это компилируется вполне предсказуемо, хотя, если включить оптимизации 
ССС (-03), мы увидим: 


Листинг 3.31: Оптимизирующий ССС 4.8.1 


_та1п: 
push ebp 
mov ebp, esp 
and esp, -16 
sub esp, 16 
call _— main 
mov eax, DWORD PTR [ebp+12] 
mov eax, DWORD PTR [eax+4] 
mov DWORD PTR [esp], eax 
call _atol 
mov edx, 1717986919 
mov DWORD PTR [esp], OFFSET FLAT:LC2 ; "%d\n" 
lea ecx, [eax+eax*8] 
mov eax, ecx 
imul edx 
sar ecx, 31 
sar edx 
sub edx, ecx 
add edx, 32 
mov DWORD PTR [esp+4], edx 
call _printf 
leave 
ret 


(Здесь деление заменено умножением(3.10 (стр. 628)).) 


Да, наша маленькая функция се15іиѕ То Ғаһгепћеії () была помещена прямо 
перед вызовом printf(). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Почему? Это может быть быстрее чем исполнять код самой функции плюс за- 
траты на вызов и возврат. 


Современные оптимизирующие компиляторы самостоятельно выбирают функ- 
ции для вставки. Но компилятор можно дополнительно принудить развернуть 
некоторую функцию, если маркировать её ключевым словом «іпііпе» в её опре- 
делении. 


3.12.1. Функции работы со строками и памятью 


Другая очень частая оптимизация это вставка кода строковых функций таких 
как ѕЁгсру(), истр(), strlen(), тетѕеі(), тетстр(), тетсру(), итд. 


Иногда это быстрее, чем вызывать отдельную функцию. 


Это очень часто встречающиеся шаблонные вставки, которые желательно рас- 
познавать reverse епдіпеег-ам «на глаз». 


ѕёгстр() 


Листинг 3.32: пример с ѕ#гстр() 


bool іѕ роо1 (char *s) 


{ 
if (strcmp (5, "їгие")==0) 
return true; 
if (strcmp (s, "false")==0) 
return false; 
assert(0); 
}; 
Листинг 3.33: Оптимизирующий GCC 4.8.1 
.LCO: 
.String "true" 
.LC1: 
.string "false" 
is_bool: 
.LFBO: 
push edi 
mov ecx, 5 
push esi 
mov edi, OFFSET FLAT: .LCO 
sub esp, 20 
mov esi, DWORD PTR [esp+32] 
repz cmpsb 
je 13 
тоу esi, DWORD РТВ [еѕр+32] 
тоу есх, 6 
тоу edi, OFFSET FLAT:.LC1 
repz cmpsb 
seta cl 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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setb dl 

xor eax, eax 

cmp cl, dl 

jne 18 

ааа еѕр, 20 

рор еѕі 

рор еді 

ret 
‚18: 

mov DWORD PTR [esp], © 

call assert 

add esp, 20 

pop esi 

pop edi 

ret 
„L3: 

add esp, 20 

mov eax, 1 

pop esi 

pop edi 

ret 

Листинг 3.34: Оптимизирующий MSVC 2010 

$563454 DB 'true', ӨӨН 
$563456 ОВ 'false', OOH 
_$$ = 8 ; size = 4 
?is_bool@@YA NPAD@Z PROC ; is bool 

push esi 

mov esi, DWORD PTR _s$[esp] 

mov ecx, OFFSET $563454 ; 'true' 

mov eax, esi 

npad 4 ; выровнять следующую метку 
$16015 Боо\: 

тоу dl, BYTE PTR [eax] 

cmp dl, BYTE PTR [ecx] 

jne SHORT $LN7@is_ bool 

test dl, dl 

je SHORT $LN8@is_bool 

mov dl, BYTE PTR [eax+1] 

cmp dl, BYTE PTR [ecx+1] 

jne SHORT $LN7@is_ bool 

add eax, 2 

add ecx, 2 

test dl, dl 

jne SHORT $LL6@is_bool 
$LN8@is_bool: 

xor eax, eax 

jmp SHORT $LN9@is bool 
$LN7@is_bool: 

sbb eax, eax 

sbb eax, -1 


$LN9@is_bool: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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test eax, eax 

jne SHORT $LN2@is bool 
mov al, 1 

pop esi 

ret 0 


$LN2@is_bool: 


mov ecx, OFFSET $563456 ; 'false' 

mov eax, esi 
$LL10@is_bool: 

mov dl, BYTE PTR [eax] 

cmp dl, BYTE PTR [ecx] 

jne SHORT $LN11@is_bool 

test dl, dl 

je SHORT $LN12@is_bool 

mov dl, BYTE PTR [eax+1] 

cmp dl, BYTE PTR [ecx+1] 

jne SHORT $LN11@is_bool 

add eax, 2 

add ecx, 2 

test dl, dl 

jne SHORT $LL10@is_bool 
$LN12@is_bool: 

xor eax, eax 

jmp SHORT $LN13@is_bool 
$LN11@is_bool: 

sbb eax, eax 

sbb eax, -1 
$LN13@is_bool: 

test eax, eax 

jne SHORT $LN1@is_ bool 

xor al, al 

pop esi 

ret 0 


$LN1@is_bool: 


push 11 

push OFFSET $563458 

push OFFSET $563459 

call DWORD РТА _imp__wassert 


add esp, 12 
pop esi 
ret 0 


715_һоо1@@ҮА_МРАР@7 ЕМОР ; is bool 


strlen() 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Листинг 3.35: пример с strlen() 


int strlen_test(char ж51) 


{ 
}; 


return ѕг1еп ($1); 


Листинг 3.36: Оптимизирующий MSVC 2010 


_$1$ = 8 ; $127е = 4 
_strlen_test PROC 


mov eax, DWORD PTR _51$[е<$р-4] 

lea edx, DWORD PTR [eax+1] 
$LL3@strlen_tes: 

mov cl, BYTE PTR [eax] 

inc eax 

test cl, cl 

jne SHORT $LL3@strlen_tes 

sub eax, edx 

ret 0 


_strlen_test ЕМОР 


strcpy() 
Листинг 3.37: пример c strcpy() 


void strcpy_test(char ж51, char »outbuf) 


strcpy(outbuf, s1); 


}; 
Листинг 3.38: Оптимизирующий М5\С 2010 

_51$ = 8 ; size = 4 
_outbuf$ = 12 ; 5біғе = 4 
_strcpy_test PROC 

mov eax, DWORD PTR _51$[е<$р-4] 

mov edx, DWORD PTR _outbuf$[esp-4] 

sub edx, eax 

npad 6 ; выровнять следующую метку 
$LL3@strcpy_tes: 

mov cl, BYTE PTR [eax] 

mov BYTE PTR [edx+eax], cl 

inc eax 

test cl, cl 

jne SHORT $LL3@strcpy_tes 

ret 0 


_strcpy_test ЕМОР 


memset() 


Пример#1 
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Листинг 3.39: 32 байта 


#include <stdio.h> 


void f(char жои?) 


{ 
}; 


петѕеї (ои, 0, 32); 


Многие компиляторы не генерируют вызов тетзе() для коротких блоков, а 
просто вставляют набор МО\-ов: 


Листинг 3.40: Оптимизирующий ССС 4.9.1 x64 


f: 
mov QWORD PTR [rdi], 0 
mov QWORD PTR [rdi+8], 0 
mov QWORD PTR [rdi+16], 0 
mov QWORD PTR [rdi+24], 0 
ret 


Кстати, это напоминает развернутые циклы: 1.22.1 (стр. 249). 
Пример#2 


Листинг 3.41: 67 байт 


#include <stdio.h> 


void f(char жои?) 


{ 
}; 


петѕеї (ои, 0, 67); 


Когда размер блока не кратен 4 или 8, разные компиляторы могут вести себя 
по-разному. 


Например, МУС 2012 продолжает вставлять MOV: 
Листинг 3.42: Оптимизирующий MSVC 2012 x64 


out$ = 8 

f PROC 
xor eax, eax 
mov QWORD PTR [rcx], rax 
mov QWORD PTR [rcx+8], rax 
mov QWORD PTR [rcx+16], rax 
mov QWORD PTR [rcx+24], rax 
mov QWORD PTR [rcx+32], rax 
mov QWORD PTR [rcx+40], rax 
mov QWORD PTR [rcx+48], rax 
mov QWORD PTR [rcx+56], rax 
mov WORD PTR [rcx+64], ax 
mov BYTE PTR [rcx+66], al 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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геї 0 
f ENDP 


...а ССС использует ВЕР STOSQ, полагая, что так будет короче, чем пачка МО\'<: 


Листинг 3.43: Оптимизирующий ССС 4.9.1 x64 


f: 
mov QWORD PTR [rdi], ө 
mov QWORD PTR [rdi+59], 0 
mov rcx, rdi 
lea rdi, [rdi+8] 
xor eax, eax 
and rdi, -8 
sub rcx, rdi 
add ecx, 67 
shr ecx, 3 
rep stosq 
ret 
memcpy() 


Короткие блоки 


Если нужно скопировать немного байт, то, нередко, тетсру() заменяется на 
несколько инструкций MOV. 


Листинг 3.44: пример с тетсру() 


void тетсру 7 (сһаг жіпри#, char »outbuf) 


memcpy (outbuf+10, inbuf, 7); 
}; 


Листинг 3.45: Оптимизирующий MSVC 2010 


_inbuf$ = 8 ; Size = 4 
_outbuf$ = 12 ; 5176 = 4 
_тетсру 7 PROC 
mov ecx, DWORD PTR _inbuf$[esp-4] 
mov edx, DWORD PTR [ecx] 
mov eax, DWORD PTR _outbuf$[esp-4] 
mov DWORD PTR [eax+10], edx 
mov dx, WORD PTR [ecx+4] 
mov WORD PTR [eax+14], dx 
mov cl, BYTE PTR [ecx+6] 
mov BYTE PTR [eax+16], cl 
ret 0 


_метсру 7 ЕМОР 


Листинг 3.46: Оптимизирующий ССС 4.8.1 
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петсру 7: 
push ebx 
mov eax, DWORD PTR [esp+8] 
mov ecx, DWORD PTR [esp+12] 
mov ebx, DWORD PTR [eax] 
lea edx, [ecx+10] 
mov DWORD PTR [ecx+10], ebx 
тоу2х ecx, WORD РТВ [еах+4] 
mov WORD PTR [edx+4], cx 
тоу2х еах, ВҮТЕ РТВ [еах+б] 
mov BYTE PTR [edx+6], al 
pop ebx 
ret 


Обычно это происходит так: в начале копируются 4-байтные блоки, затем 16- 
битное слово (если нужно), затем последний байт (если нужно). 


Точно так же при помощи МО\/ копируются структуры: 1.30.4 (стр. 463). 


Длинные блоки 


Здесь компиляторы ведут себя по-разному. 


Листинг 3.47: пример с тетсру() 


void тетсру 128 (сһаг xinbuf, char »outbuf) 


memcpy (outbuf+10, inbuf, 128); 
}; 


void тетсру 123 (сһаг xinbuf, char »outbuf) 


memcpy (outbuf+10, inbuf, 123); 
}; 


При копировании 128 байт, MSVC может обойтись одной инструкцией MOVSD 
(ведь 128 кратно 4): 


Листинг 3.48: Оптимизирующий MSVC 2010 


_inbuf$ = 8 ; 5176 = 4 
_outbuf$ = 12 ; 5176 = 4 
_тетсру 128 PROC 
push esi 
mov esi, DWORD PTR _inbuf$[esp] 
push edi 
mov edi, DWORD РТВ _outbuf$[esp+4] 
add edi, 10 
mov ecx, 32 
rep movsd 
pop edi 
pop esi 
ret 0 
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_тетсру 128 ЕМОР 


При копировании 123-х байт, в начале копируется 30 32-битных слов при помо- 
щи MOVSD (это 120 байт), затем копируется 2 байта при помощи MOVSW, затем 
еще один байт при помощи МО\/5В. 


Листинг 3.49: 


Оптимизирующий MSVC 2010 


_inbuf$ = 8 ; size 
_outbuf$ = 12 ; size 
_тетсру 123 PROC 

push esi 

mov esi, DWORD PTR 

push edi 

mov edi, DWORD PTR 

add edi, 10 

mov ecx, 30 

rep movsd 

movsw 

movsb 

pop edi 

pop esi 

ret 0 


_тетсру 123 ЕМОР 


_inbuf$[esp] 


_outbuf$[esp+4] 


4 
4 


GCC во всех случаях вставляет большую универсальную функцию, работаю- 
щую для всех размеров блоков: 


Листинг 3.50: Оптимизирующий ССС 4.8.1 


тетсру 123: 
. LFB3: 
push edi 
mov eax, 123 
push esi 
mov edx, DWORD PTR [esp+16] 
mov esi, DWORD PTR [esp+12] 
lea edi, [edx+10] 
test edi, 1 
jne ‚124 
їеѕї еаі, 2 
јпе ‚125 
.ЕУ: 
mov ecx, eax 
xor edx, edx 
shr ecx, 2 
test al, 2 
rep movsd 
je 18 
тоу2х edx, WORD РТВ [esi] 
mov WORD PTR [edi], dx 
mov edx, 2 
18: 
test al, 1 
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је ‚15 
тоу2х еах, ВҮТЕ РТВ [еѕі+еах] 
тоу BYTE РТВ [еді+еах], al 
15: 
рор еѕі 
рор еді 
геї 
.124: 
ПОМ2Х еах, ВҮТЕ РТА [еѕі] 
1еа edi, [ейх+11] 
ааа esi, 1 
test edi, 2 
mov BYTE PTR [edx+10], al 
mov eax, 122 
je .L7 
.L25: 
тоу2х edx, WORD РТВ [esi] 
add edi, 2 
add esi, 2 
sub eax, 2 
mov WORD PTR [edi-2], dx 
jmp ‚17 
.LFE3: 


Универсальные функции копирования блоков обычно работают по следующей 
схеме: вычислить, сколько 32-битных слов можно скопировать, затем сделать 
это при помощи MOVSD, затем скопировать остатки. 


Более сложные функции копирования используют SIMD и учитывают выравни- 
вание в памяти. 


Как пример функции strlen() использующую SIMD : 1.36.2 (стр. 536). 


тетстр() 


Листинг 3.51: пример с тетстр() 


int тетстр 1235 (сһаг »buf1, char ж*ри#2) 
{ 


}; 


return memcmp (buf1, buf2, 1235); 


Для блоков разной длины, MSVC 2013 вставляет одну и ту же универсальную 
функцию: 


Листинг 3.52: Оптимизирующий MSVC 2010 


_ри?1$ = 8 ; 51те = 4 

_buf2$ = 12 ; 51те = 4 

_тетстр 1235 PROC 
mov ecx, DWORD PTR _buf1i$[esp-4] 
mov edx, DWORD PTR _buf2$[esp-4] 
push esi 
mov esi, 1231 
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праа 2 
$. Е5@тетстр 123: 
mov eax, DWORD PTR [ecx] 
cmp eax, DWORD PTR [edx] 
jne SHORT $LN4@memcmp_123 
add ecx, 4 
add edx, 4 
sub esi, 4 
jae SHORT $LL5@memcmp_123 
$LN4@memcmp_123: 
mov al, BYTE PTR [ecx] 
cmp al, BYTE PTR [edx] 
jne SHORT $LN6@memcmp_123 
mov al, BYTE PTR [ecx+1] 
cmp al, BYTE PTR [edx+1] 
jne SHORT $LN6@memcmp_123 
mov al, BYTE PTR [ecx+2] 
cmp al, BYTE PTR [edx+2] 
jne SHORT $LN6@memcmp_123 
cmp esi, -1 
je SHORT $LN3@memcmp_123 
mov al, BYTE PTR [ecx+3] 
cmp al, BYTE PTR [edx+3] 
jne SHORT $LN6@memcmp_123 
$LN3@memcmp_123: 
xor eax, eax 
pop esi 
ret 0 
$Е№6б@тетстр 123: 
sbb eax, eax 
or eax, 1 
pop esi 
ret 0 


_тетстр 1235 ЕМОР 


strcat() 


Это ф-ция strcat() в том виде, в котором её сгенерировала MSVC 6.0. Здесь вид- 
ны З части: 1) измерение длины исходной строки (первый scasb); 2) измерение 
длины целевой строки (второй ѕсаѕб); 3) копирование исходной строки в конец 
целевой (пара movsd/movsb). 


Листинг 3.53: strcat() 


Теа edi, [src] 

or ecx, OFFFFFFFFh 
repne scasb 

not ecx 

sub edi, ecx 

mov esi, edi 

mov edi, [dst] 

mov edx, ecx 

or ecx, OFFFFFFFFh 
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repne scasb 


mov ecx, edx 
dec edi 

shr ecx, 2 
rep movsd 

mov ecx, edx 
and ecx, 3 
rep movsb 


Скрипт для IDA 


Есть также небольшой скрипт для ІрА для поиска и сворачивания таких очень 
часто попадающихся іпііпе-функций: 


GitHub. 


3.13. C99 restrict 


А вот причина, из-за которой программы на Фортран, в некоторых случаях, pa- 
ботают быстрее чем на Си. 


void f1 (1п%* х, int» у, int» sum, int» product, int» sum product, 1пї* и 
S update_me, size t s) 


{ 
for (int i=0; i<s; i++) 
{ 
sum[i]=x[i]+y[i]; 
ргоаис+ [і]=х[1]жу[1]; 
ирааїе ме[1]=1*123; // some dummy value 
sum ргоаис+ [і ]=ѕит[ 1] +ргоаис+ [і]; 
}; 
}; 


Это очень простой пример, в котором есть одна особенность: указатель на 
массив update пе может быть указателем на массив sum, product, или даже 
sum ргоаисї—ведь нет ничего криминального в том чтобы аргументам функ- 
ции быть такими, верно? 


Компилятор знает об этом, поэтому генерирует код, где в теле цикла будет 4 
основных стадии: 


• вычислить следующий ѕит[1] 
• вычислить следующий ргодист{ [1] 
• вычислить следующий update те[і ] 


вычислить следующий sum ргоаисї[1]—на этой стадии придется снова 
загружать из памяти подсчитанные sum[i] и ргодис* [1] 


Возможно ли соптимизировать последнюю стадию? Ведь подсчитанные sum[i] 
и ргодис* [1] не обязательно снова загружать из памяти, ведь мы их только 
что подсчитали. 
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Можно, но компилятор не уверен, что на третьей стадии ничего не затерлось! 


Это называется «pointer aliasing», ситуация, когда компилятор не может быть 
уверен, что память на которую указывает какой-то указатель, не изменилась. 


restrict в стандарте Си C99 [ISO/IEC 9899:ТСЗ (С C99 standard), (2007) 6.7.3/1] 
это обещание, данное компилятору программистом, что аргументы функции, 
отмеченные этим ключевым словом, всегда будут указывать на разные места 
в памяти и пересекаться не будут. 


Если быть более точным, и описывать это формально, restrict показывает, что 
только данный указатель будет использоваться для доступа к этому объекту, 
больше никакой указатель для этого использоваться не будет. 


Можно даже сказать, что к всякому объекту, доступ будет осуществляться 
только через один единственный указатель, если он отмечен как restrict. 


Добавим это ключевое слово к каждому аргументу-указателю: 


void f2 (іпіж restrict х, int» restrict у, int» restrict sum, 1пї* restrict/ 
S product, int» restrict sum product, 
int» restrict update_me, size t s) 


{ 
for (int i=0; i<s; i++) 
{ 
sum[i]=x[i]+y[i]; 
product[i]=x[i]*y[il]l; 
update_me[i]=i*123; // some dummy value 
sum product[i]=sum[i]+product[i]; 
}; 
}; 


Посмотрим результаты: 


Листинг 3.54: ССС x64: #1() 


f1: 
push r15 r14 r13 r12 rbp rdi rsi rbx 
mov r13, QWORD PTR 120[rsp] 
mov rbp, QWORD PTR 104[rsp] 
mov r12, QWORD PTR 112[rsp] 
test r13, r13 
je 11 
ааа г13, 1 
хог ерх, ерх 
тоу edi, 1 
xor г11а, г11а 
јтр .14 
‚16: 
тоу г11, гаі 
тоу гаі, гах 
‚14: 
Теа гах, 0[0+г11*4] 
Теа r10, [гсх+гах] 
Теа г14, [гах+гах] 
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Теа rsi, [г8+гах] 
ааа гах, г9 
тоу г15а, DWORD РТВ [r10] 
ааа г15а, DWORD РТВ [r14] 
mov DWORD PTR [rsi], г15а ; сохранить в ѕит[] 
mov г10а, DWORD PTR [r10] 
imul г10а, DWORD PTR [r14] 
mov DWORD PTR [rax], r10d ; сохранить в ргодис* [] 
mov DWORD PTR [г12+г11*4], ebx ; сохранить B update те[] 
ааа ebx, 123 
mov г10а, DWORD PTR [rsi] ; перезагрузить sum[i] 
ааа г10а, DWORD РТА [гах] ; перезагрузить ргоаисї [1] 
1еа гах, 1[га1] 
стр гах, r13 
mov DWORD PTR O[rbp+r11*4], г104 ; сохранить в sum product[] 
jne ‚16 
211: 
рор rbx rsi гаі rbp r12 r13 r14 r15 
ret 
Листинг 3.55: GCC x64: f2() 
f2: 
push r13 r12 rbp rdi rsi rbx 
mov r13, QWORD PTR 104[rsp] 
mov rbp, QWORD PTR 88[rsp] 
mov r12, QWORD PTR 96[rsp] 
test r13, r13 
je ‚17 
ааа г13, 1 
хог г10а, г10а 
mov edi, 1 
xor eax, eax 
jmp .L10 
.L11: 
mov rax, rdi 
mov rdi, r11 
.L10: 
mov esi, DWORD PTR [гсх+гахж4] 
mov г11а, DWORD PTR [rdx+rax*4] 
mov DWORD PTR [г12+гахж4], г10а ; сохранить update те[] 
add г10а, 123 
lea ebx, [rsi+r11] 
imul г11а‚ esi 
mov DWORD PTR [r8+rax*4], ebx ; сохранить B sum[] 
mov DWORD PTR [г9+гахж4], г11а ; сохранить ргоаисї[] 
ааа г11а, ерх 
mov DWORD PTR O[rbp+rax*4], г114 ; сохранить sum product[] 
lea r11, 1[га1] 
cmp r11, r13 
jne .L11 
‚217: 
рор грх rsi гаі rbp r12 r13 
ret 
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Разница между скомпилированной функцией 11 () и 12 () такая: в Ғ1(), ѕит[1] 
и ргодис* [1] загружаются снова посреди тела цикла, а в #2() этого нет, nC- 
пользуются уже подсчитанные значения, ведь мы «пообещали» компилятору, 
что никто и ничто не изменит значения в ѕит[і] и ргодис*[1] во время nc- 
полнения тела цикла, поэтому он «уверен», что значения из памяти можно не 
загружать снова. Очевидно, второй вариант работает быстрее. 


Но что будет если указатели в аргументах функций все же будут пересекать- 
ся? 


Это на совести программиста, а результаты вычислений будут неверными. 


Вернемся к Фортрану. Компиляторы с этого ЯП, по умолчанию, все указатели 
считают таковыми, поэтому, когда не было возможности указать restrict в Си, 
то компилятор с Фортрана в этих случаях мог генерировать более быстрый 
код. 


Насколько это практично? Там, где функция работает с несколькими больши- 
ми блоками в памяти. 


Такого очень много в линейной алгебре, например. 


Очень много линейной алгебры используется на суперкомпьютерах/НРС'°, воз- 
можно, поэтому, традиционно, там часто используется Фортран, до сих пор 
[Eugene Loh, The Ideal НРС Programming Language, (2010)]. Ну а когда итера- 
ций цикла не очень много, конечно, тогда прирост скорости может и не быть 
ощутимым. 


3.14. Функция abs() без переходов 


Снова вернемся к уже рассмотренному ранее примеру 1.18.2 (стр. 183) и спро- 
сим себя, возможно ли сделать версию этого кода под х86 без переходов? 


int ту аб$ (int i) 
{ 
if (1<0) 
return -i; 
else 
return i; 


}; 


И ответ положительный. 


3.14.1. Оптимизирующий ССС 4.9.1 x64 


Мы можем это увидеть если скомпилируем оптимизирующим ССС 4.9: 


15нідһ-Регѓогтапсе Computing 
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Листинг 3.56: Оптимизирующий ССС 4.9 х64 


ту абѕ: 

mov edx, edi 

mov eax, edi 

sar edx, 31 
; EDX здесь 0OxFFFFFFFF если знак входного значения -- минус 
; EDX ноль если знак входного значения -- плюс (включая ноль) 
; следующие две инструкции имеют эффект только если EDX равен OxFFFFFFFF 
; либо не работают, если EDX -- ноль 

хог eax, edx 

sub eax, edx 

ret 


И BOT как он работает: 
Арифметически сдвигаем входное значение вправо на 31. 


Арифметический сдвиг означает знаковое расширение, так что если МЅВ это 1, 
то все 32 бита будут заполнены единицами, либо нулями в противном случае. 


Другими словами, инструкция SAR ВЕС, 31 делает OxFFFFFFFF если знак был 
отрицательным либо 0 если положительным. 


После исполнения SAR, это значение у нас в EDX. 


Затем, если значение ©хЕЕЕЕЕЕЕЕ (т.е. знак отрицательный) входное значение 
инвертируется (потому что XOR REG, ОхЕРЕРЕРЕЕ работает как операция nH- 
вертирования всех бит). 


Затем, снова, если значение ©хЕЕЕЕЕЕЕЕ (т.е. знак отрицательный), 1 прибав- 
ляется к итоговому результату (потому что вычитание -1 из значения это то 
же что и инкремент). 


Инвертирование всех бит и инкремент, это то, как меняется знак у значения в 
формате two's complement. 


Мы можем заметить, что последние две инструкции делают что-то если знак 
входного значения отрицательный. 


В противном случае (если знак положительный) они не делают ничего, остав- 
ляя входное значение нетронутым. 


Алгоритм разъяснен в [Henry S. Warren, Наскег’5 Delight, (2002)2-4]. Трудно ска- 
зать, как именно ССС сгенерировал его, соптимизировал сам или просто нашел 
подходящий шаблон среди известных? 


3.14.2. Оптимизирующий ССС 4.9 АВМ64 


ССС 4.9 для АКМ64 делает почти то же, только использует полные 64-битные 
регистры. 


Здесь меньше инструкций, потому что входное значение может быть сдвинуто 
используя суффикс инструкции («аѕг») вместо отдельной инструкции. 
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Листинг 3.57: Оптимизирующий ССС 4.9 ARM64 


ту абѕ: 
; расширить входное 32-битное значение до 64-битного в регистре ХО, учитывая 
ыы х0, м0 
еог х1, x0, x0, asr 63 
; Х1=Х0^(Х0>>63) (арифметический сдвиг) 
sub x0, x1, x0, asr 63 
; X0=X1- (X0>>63)=X0^(X0>>63) - (X0>>63) 
; (все сдвиги -- арифметические) 
геї 


3.15. Функции с переменным количеством аргумен- 
ТОВ 

Функции вроде printf() и scanf() могут иметь переменное количество аргу- 

ментов (variadic). 


Как обращаться к аргументам? 


3.15.1. Вычисление среднего арифметического 


Представим, что нам нужно вычислить среднее арифметическое, и по какой-то 
странной причине, нам нужно задать все числа в аргументах функции. 


Но в Си/Си+ +функции с переменным кол-вом аргументов невозможно опреде- 
лить кол-во аргументов, так что обозначим значение -1 как конец списка. 


Используя макрос уа ағд 


Имеется стандартный заголовочный файл stdarg.h, который определяет Mak- 
росы для работы с такими аргументами. 


Их так же используют функции printf() и scanf(). 


#include <stdio.h> 
#include <stdarg.h> 


int arith_mean(int v, ...) 
{ 
va_list args; 
int sum=v, count=1, i; 
va_start(args, v); 


while(1) 
{ 
i=va_arg(args, int); 
if (i==-1) // терминатор 
break; 
sum=sum+i; 
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count++; 


} 


va_end(args); 
return sum/count; 


}; 
int main() 
{ 
printf ("%d\n", arith_mean (1, 2, 7, 10, 15, -1 /* терминатор */)); 
}; 


Самый первый аргумент должен трактоваться как обычный аргумент. 


Остальные аргументы загружаются используя макрос уа_агд, и затем сумми- 
руются. 
Так что внутри? 


Соглашение о вызовах cdecl 


Листинг 3.58: Оптимизирующий MSVC 6.0 


_№$ = 8 
_arith_mean PROC NEAR 
mov eax, DWORD PTR _\$[е5р-4] ; загрузить первый аргумент в sum 
push esi 
mov esi, 1 ; count=1 
lea edx, DWORD PTR _v$[esp] ; адрес первого аргумента 
$1838: 
mov ecx, DWORD PTR [edx+4] ; загрузить следующий аргумент 
ааа edx, 4 ; сдвинуть указатель на следующий 
аргумент 
стр ecx, -1 ; ЭТО -1? 
је SHORT $1856 ; выйти, если это так 
ааа еах, есх ; sum = sum + загруженный аргумент 
іпс еѕі ; count++ 
јтр SHORT $1838 
$1856: 
; вычислить результат деления 
сад 
idiv esi 
pop esi 
ret 0 


_аг1ЕН теап ЕМОР 


$56851 DB '%4', бан, ӨӨН 
_таіп PROC NEAR 

push -1 

push 15 

push 10 
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push 7 
push 2 
push 1 
call _arith_mean 
push eax 
push OFFSET FLAT:$SG851 ; '%а' 
call _printf 
add esp, 32 
ret 0 
_таіп ЕМОР 


Аргументы, как мы видим, передаются в та1п() один за одним. 
Первый аргумент заталкивается в локальный стек первым. 
Терминатор (оконечивающее значение -1) заталкивается последним. 


Функция arith_mean() берет первый аргумент и сохраняет его значение B ne- 
ременной зит. 


Затем, она записывает адрес второго аргумента в регистр EDX, берет значение 
оттуда, прибавляет к зит, и делает это в бесконечном цикле, до тех пор, пока 
не встретится -1. 


Когда встретится, сумма делится на число всех значений (исключая -1) и част- 
ное возвращается. 


Так что, другими словами, я бы сказал, функция обходится с фрагментом стека 
как с массивом целочисленных значений, бесконечной длины. 


Теперь нам легче понять почему в соглашениях о вызовах саесі первый аргу- 
мент заталкивается в стек последним. 


Потому что иначе будет невозможно найти первый аргумент, или, для функции 
вроде ргіпі? (), невозможно будет найти строку формата. 


Соглашения о вызовах на основе регистров 


Наблюдательный читатель может спросить, что насчет тех соглашений о вы- 
зовах, где первые аргументы передаются в регистрах? 


Посмотрим: 
Листинг 3.59: Оптимизирующий MSVC 2012 x64 
$563013 DB '%4', бан, ӨӨН 
у$ = 8 
агіїһ теап PROC 
mov DWORD PTR [rsp+8], ecx ; первый аргумент 
тоу QWORD РТА [rsp+16], гах ; второй аргумент 
тоу QWORD РТА [г5р+24], r8 ; третий аргумент 
тоу еах, есх ; sum = первый аргумент 
Теа rcx, QWORD РТА \$[г5р+8] ; указатель на второй аргумент 
тоу QWORD PTR [rsp+32], r9 ; 4-й аргумент 
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тоу edx, DWORD РТВ [rcx] 

mov r8d, 1 

cmp edx, -1 

je SHORT $LN8@arith_mean 

$LL3@arith_mean: 

add eax, edx 

mov edx, DWORD PTR [rcx+8] 

lea rcx, QWORD PTR [rcx+8] 
указывал на аргумент за следующим 

їпс r8d 

cmp edx, -1 

jne SHORT $LL3@arith_mean 


$LN8@arith_mean: 
; вычислить результат деления 


сад 
idiv r8d 
ret 0 


агіһ теап ЕМОР 


main PROC 
sub rsp, 56 
mov edx, 2 
mov DWORD PTR [rsp+40], -1 
mov DWORD PTR [rsp+32], 15 
lea r9d, QWORD PTR [rdx+8] 
lea r8d, QWORD PTR [rdx+5] 
lea ecx, QWORD PTR [гах-1] 
call arith_mean 
lea rcx, OFFSET ЕГІАТ: 563013 
mov edx, eax 
call printf 
xor eax, eax 
add rsp, 56 
ret 0 

та1п ЕМОР 


загрузить второй аргумент 
count=1 

второй аргумент равен -1? 
если так, то выход 


sum = зим + загруженный аргумент 
загрузить следующий аргумент 
сдвинуть указатель, чтобы он 


count++ 
загруженный аргумент равен -1? 
перейти на начал цикла, если нет 


Мы видим, что первые 4 аргумента передаются в регистрах и еще два — в 


стеке. 


Функция arith_mean() в начале сохраняет эти 4 аргумента в Shadow Space и 
затем обходится с Shadow Space и стеком за ним как с единым непрерывным 


массивом! 


Что насчет ССС? Тут немного неуклюже всё, потому что функция делится на 
две части: первая часть сохраняет регистры в «геа zone», обрабатывает это 
пространство, а вторая часть функции обрабатывает стек: 


Листинг 3.60: Оптимизирующий ССС 4.9.1 х64 


arith_mean: 
lea rax, [rsp+8] 


; сохранить 6 входных регистров B 


; геа zone в локальном стеке 


mov QWORD PTR [rsp-40], rsi 
mov QWORD PTR [rsp-32], rdx 
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mov 
mov 
mov 
mov 
lea 
mov 
mov 
lea 
mov 
mov 
jmp 

‚17: 


QWORD PTR [г5=р-16], гё 
QWORD РТВ [rsp-24], rcx 
esi, 8 

QWORD PTR [rsp-64], rax 
rax, [rsp-48] 

QWORD PTR [rsp-8], r9 
DWORD PTR [rsp-72], 8 
rdx, [rsp+8] 

r8d, 1 

QWORD PTR [rsp-56], rax 
‚15 


; Обработать сохраненные аргументы 


lea 
mov 
add 
add 
mov 
cmp 
je 
18: 
ааа 
ааа 
. 5: 


гах, [г5р-48] 


есх, еѕі 

еѕі, 8 

гсх, гах 

ecx, DWORD РТА [rcx] 
ecx, -1 

14 

еаі, есх 

r8d, 1 


; решить, какую часть мы сейчас будем обрабатывать 
; текущий номер аргумента меньше или равен 6? 


стр 
јре 
аргументы 


еѕі, 47 
‚17 ; нет, тогда обрабатываем сохраненные 


; обрабатываем аргументы из стека 


mov 
add 
mov 
cmp 
jne 

‚14: 
mov 
cdq 
idiv 
ret 


.LC1: 
.string 

main: 
sub 
mov 
mov 
mov 
mov 
mov 
mov 
xor 
call 
mov 


rcx, rdx 
rdx, 8 
ecx, DWORD PTR [rcx] 
ecx, -1 
18 

eax, edi 
r8d 
"%d\n и 
rsp, 8 
edx, 7 
еѕі, 2 
edi, 1 
г9а, -1 
г8а, 15 
есх, 10 
еах, еах 


arith_mean 
esi, OFFSET FLAT:.LC1 
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mov edx, eax 

mov edi, 1 

xor eax, eax 

add rsp, 8 

jmp _ printf_chk 


Кстати, похожее использование Shadow Space разбирается здесь: 6.1.8 (стр. 949). 


Используя указатель на первый аргумент ф-ции 


Пример можно переписать без использования макроса \а_агд: 


#include <stdio.h> 


int arith_mean(int v, ...) 
{ 
int жі=&%; 
int ѕит=жі, count=1; 
i++; 
while(1) 
{ 
if ((xi)==-1) // terminator 
break; 
Ѕит=5ит+ (жі) ; 
count++; 
i++; 
} 
return sum/count; 
}; 
int main() 
{ 
printf ("%d\n", arith_mean (1, 2, 7, 10, 15, -1 /* terminator */)); 
// test: https://www.wolframalpha.com/input/?i=mean(1,2,7,10,15) 
}; 


Иными словами, если набор аргументов - это массив слов (32-битных или 64- 
битных), то мы просто перебираем элементы этого массива, начиная с первого. 


3.15.2. Случай с функцией vprintf() 


Многие программисты определяют свою собственную функцию для записи в 
лог, которая берет строку формата вида ргіпї#() + переменное количество 
аргументов. 


Еще один популярный пример это функция 4е(), которая выводит некоторое 
сообщение и заканчивает работу. 


Нам нужен какой-то способ запаковать входные аргументы неизвестного ко- 
личества и передать их в функцию printf(). 
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Но как? Вот зачем нужны функции с «\» в названии. 


Одна из них это vprintf(): она берет строку формата и указатель на переменную 
типа va_list: 


#include <stdlib.h> 
#include <stdarg.h> 


void die (const char ж fmt, ...) 

{ 
va_list va; 
va_start (va, fmt); 


vprintf (fmt, va); 
exit(0); 
}; 


При ближайшем рассмотрении, мы можем увидеть, что va_list это указатель 
на массив. 


Скомпилируем: 
Листинг 3.61: Оптимизирующий М5\/С 2010 
_fmt$ = 8 
die PROC 
; загрузить первый аргумент (строка формата) 
mov ecx, DWORD PTR _fmt$[esp-4] 
; установить указатель на второй аргумент 
lea eax, DWORD PTR fmt$[esp] 
push eax ; Передать указатель 
push ecx 
call _Vvprintf 
add esp, 8 
push 0 
са11 _ехії 
$LN3@die: 
int 3 
die ENDP 


Мы видим, что всё что наша функция делает это просто берет указатель на 
аргументы, передает его в "рип ), и эта функция работает с ним, как с бес- 
конечным массивом аргументов! 


Листинг 3.62: Оптимизирующий MSVC 2012 x64 


fmt$ = 48 
die PROC 
; сохранить первые 4 аргумента B Shadow Space 
mov QWORD PTR [rsp+8], rcx 
mov QWORD PTR [rsp+16], rdx 
mov QWORD PTR [rsp+24], r8 
mov QWORD PTR [rsp+32], r9 
sub rsp, 40 
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Теа гах, QWORD PTR #ті$ [г5р+8] ; передать указатель на первый 
аргумент 

; ВСХ здесь всё еще указывает на первый аргумент (строку формата) 
ф-ции аіе() 


; так что vprintf() возьмет его прямо из RCX 
са11 vprintf 


xor ecx, ecx 
call exit 
int 3 

die ENDP 


3.15.3. Случай c Pin 


Интересно посмотреть, как некоторые ф-ции из РВ! Pin берут на вход несколь- 
ко аргументов: 


ІМЅ ІпѕегїіРгеаіса+еаса11 ( 
ins, IPOINT BEFORE, (АРУМРТВ)ВесогаМетВеаа, 
IARG_INST_PTR, 
ТААС МЕМОВУОР ЕА, memOp, 
ТААС END); 


( pinatrace.cpp ) 


И вот как объявлена ф-ция INS _ InsertPredicatedCall(): 


extern VOID INS_InsertPredicatedCall(INS ins, IPOINT іроіпї, AFUNPTR Типрїг 
ъ,...); 


(ріп с1іепї.РН ) 


Следовательно, константы с именами начинающимися с ІАВС это что-то вроде 
аргументов для ф-ции, которая обрабатывается внутри 1№5 ІпѕегїРгедісаїейса11 (). 
Вы можете передавать столько аргументов, сколько нужно. Некоторые коман- 

ды имеют дополнительные аргументы, некоторые другие — нет. Полный спи- 

сок аргументов: https://software.intel.com/sites/landingpage/pintool/docs/ 
58423/Pin/html/group__INST__ARGS.html. И должен быть какой-то способ узнать, 
закончился ли список аргументов, так что список должен быть оконечен при 
помощи константы ІАВС ЕМО, без которой ф-ция будет (пытаться) обрабаты- 

вать случайный шум из локального стека, принимая его за дополнительные 
аргументы. 


Также, в [Brian W. Kernighan, Rob Pike, Practice of Programming, (1999)] можно 
найти прекрасный пример ф-ций на Си/Си++, очень похожих на раск/ипраск!' 
в Python. 


3.15.4. Эксплуатация строки формата 


Есть популярная ошибка, писать printf(string) вместо риЁѕ (string) или ргіпї# ("%5", 
string). Если тот, кто пытается взломать систему удаленно, может указать 


16рупатіс Binary Instrumentation 
17https://docs.python.org/3/library/struct.html 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


666 


СВОЮ 51 ring, он/она может свалить процесс, или даже получить доступ K Ne- 
ременным в локальном стеке. 


Посмотрите на это: 


#include <stdio.h> 


int main() 

{ 
char »sl="hello"; 
char ж52="Ммог1а" ; 
char buf[128]; 


// do something mundane here 
strcpy (buf, s1); 

strcpy (buf, " "); 

strcpy (buf, s2); 


printf ("%s"); 
}; 


Нужно отметить, что у вызова printf() нет дополнительных аргументов кро- 
ме строки формата. 


Теперь представим что это взломщик просунул строку %5 как единственный 
аргумент последнего вызова ргіпї+ (). Я компилирую это в ССС 5.4.0 на x86 
Ubuntu, и итоговый исполняемый файл печатает строку «world» при запуске! 


Если я включаю оптимизацию, ргіпі?() выдает какой-то мусор, хотя, вероят- 
но, вызовы ѕїгсру() были оптимизированы, и/или локальные переменные также. 
Также, результат будет другой для х64-кода, другого компилятора, ОС, ит. д. 


Теперь, скажем, взломщик может передать эту строку в вызов printf (): %х 
%х %х %х %х. В моем случае, вывод это: «80485с6 67751648 1 0 80485с0» (это 
просто значения из локального стека). Как видите, есть значение 1 и 0, и еще 
некоторые указатели (первый, наверное, указатель на строку «могіа»). Так что 
если взломщик передаст строку %5 %5 %5 %5 %, процесс упадет, потому что 
ргіпї?() считает 1 и/или 0 за указатель на строку, пытается читать символы 
оттуда, и терпит неудачу. 


И даже хуже, в коде может быть sprintf (buf, string), где buf это буфер 
в локальном стеке с размером в 1024 байт или около того, взломщик может 
создать строку string таким образом, что buf будет переполнен, может быть 
даже в таком виде, что это приведет к исполнению кода. 


Многое популярное ПО было (или даже до сих пор) уязвимо: 


QuakeWorld went ир, дої їо around 4000 users, then the master 
server exploded. 

Disrupter and cohorts are working on more robust code now. 

If anyone did it on purpose, how about letting us know... (It wasn’t 
all the people that tried %s as a name) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


667 


(.р!ап-файл Джона Кармака, 17-декабрь-1996!° ) 
В наше время, почти все современные компиляторы предупреждают об этом. 


Еще одна проблема это менее известный аргумент ргіпі# () %п: когда printf() 
доходит до него в строке формата, он пишет число выведенных символов в 
соответствующий аргумент: stackoverflow.com. Так, взломщик может затереть 
локальные переменные передавая в строке формата множество команд %п. 


3.16. Обрезка строк 
Весьма востребованная операция со строками — это удаление некоторых сим- 
волов в начале и/или конце строки. 


В этом примере, мы будем работать с функцией, удаляющей все символы пе- 
ревода строки (CR19/LF??) в конце входной строки: 


#include <stdio.h> 
#include <string.h> 
char» str trim (char *s) 
{ 
char с; 
size t str 1еп; 
// работать до тех пор, пока \г или \п находятся B конце строки 
// остановиться, если там какой-то другой символ, или если строка 
пустая 
А // (на старте, или в результате наших действий) 
for (str_len=strlen(s); ${г 1еп>0 && (с=5 [51г 1еп-1]); ѕ1г 1еп--) 
{ 
if (с== '\г' || с=='\п') 
5 [51г 1еп-1]=0; 
е1ѕе 
ргеак; 
}; 
return 5; 
}; 
int main() 
{ 
// тест 
// здесь применяется strdup() для копирования строк в сегмент данных, 
// потому что иначе процесс упадет в Linux, 
// где текстовые строки располагаются в константном сегменте данных, 
// и не могут модифицироваться. 
printf ("[%s]\n", $4г гіт (strdup(""))); 


l8https://github.com/ESWAT/john-carmack-plan-archive/blob/33ae52fdba46aa0dlabfed6fc7598233748541c0/ 
Бу day/johnc_plan_19961217.txt 


19Carriage return (возврат каретки) (13 или '\r в Си/Си++) 
20| {пе feed (подача строки) (10 или '\п’ в Си/Си++) 
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printf ("[%s]\n", str_trim (strdup("\n"))); 

printf ("[%s]\n", str_trim (strdup("\r"))); 

printf ("[%s]\n", str_trim (strdup("\n\r"))); 

printf ("[%s]\n", str_trim (strdup("\r\n"))); 

printf ("[%s]\n", str_trim (strdup("test1\r\n"))); 

printf ("[%s]\n", str_trim (strdup("test2\n\r"))); 

printf ("[%s]\n", str_trim (strdup("test3\n\r\n\r"))); 

printf ("[%s]\n", str_trim (strdup("test4\n"))); 

printf ("[%s]\n", str_trim (strdup("test5\r"))); 

printf ("[%s]\n", str гіт (strdup("test6\r\r\r"))); 
}; 


Входной аргумент всегда возвращается на выходе, это удобно, когда вам нуж- 
но объединять функции обработки строк в цепочки, как это сделано здесь в 
функции main(). 


Вторая часть Тог() ($г_Теп>0 && (с=5 [51г Теп-1])) называется в Си/Си++ «ѕһогі- 
circuit» (короткое замыкание) и это очень удобно: [Денис Юричев, Заметки о 
языке программирования Си/Си+-+1.3.8]. 


Компиляторы Си/Си+ +гарантируют последовательное вычисление слева на- 
право. 


Так что если первое условие не истинно после вычисления, второе никогда не 
будет ВЫЧИСЛЯТЬСЯ. 


3.16.1. x64: Оптимизирующий MSVC 2013 


Листинг 3.63: Оптимизирующий MSVC 2013 x64 


5$ = 8 
str_trim PROC 
; RCX это первый аргумент функции, и он всегда будет указывать на строку 
тоу гах, rcx 
; это функция strlen() встроенная в код прямо здесь: 
; установить ВАХ в ОхЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ (-1) 
ог гах, -1 
$LL14@str_trim: 
inc rax 
cmp BYTE PTR [rcx+rax], 0 
jne SHORT $LL14@str_trim 
; длина входной строки 0? тогда на выход: 
test rax, rax 
je SHORT $LN15@str_trim 
; RAX содержит длину строки 
дес rcx 
; RCX = s-1 
mov r8d, 1 
add rcx, rax 
; RCX = 5-1+51г1еп(5), T.e., это адрес последнего символа в строке 
sub r8, rdx 
; R8 = 1-s 
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$LL6@str trim: 

; загрузить последний символ строки: 

; перейти, если его код 13 или 10: 
тоу2х еах, ВҮТЕ РТК [гсх] 


стр а1, 13 
је SHORT $LN2@str trim 
cmp al, 10 
jne SHORT $LN15@str_trim 


$LN2@str trim: 
; последний символ имеет код 13 или 10 
; записываем ноль в этом месте: 
тоу ВҮТЕ РТВ [гсх], 0 
; декремент адреса последнего символа, 
; так что он будет указывать на символ перед только что стертым: 
дес rcx 
lea rax, QWORD PTR [r8+rcx] 
; RAX = 1 - s + адрес текущего последнего символа 
; так мы определяем, достигли ли мы первого символа, и раз так, то нам нужно 


остановиться 
test rax, rax 
jne SHORT $LL6@str_trim 
$LN15@str trim: 
mov rax, rdx 
ret 0 


str_trim ЕМОР 


В начале, MSVC вставил тело функции ѕЁг1еп() прямо в код, потому что решил, 
что так будет быстрее чем обычная работа ѕїг1еп() + время на вызов её и 
возврат из нее. 


Это также называется inlining: 3.12 (стр. 642). 


Первая инструкция функции ѕїг1еп() вставленная здесь, 
это ОВ RAX, ОхЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ. MSVC часто использует OR вместо MOV ВАХ, 
ОхЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ, потому что опкод получается короче. 


И конечно, это эквивалентно друг другу: все биты просто выставляются, а все 
выставленные биты это -1 в дополнительном коде (two's complement). 


Кто-то мог бы спросить, зачем вообще нужно использовать число -1 в функции 
strlen()? 


Вследствие оптимизации, конечно. Вот что сделал MSVC: 


Листинг 3.64: Вставленная ѕїг1еп() сгенерированная MSVC 2013 x64 


; КСХ = указатель на входную строку 
; КАХ = текущая длина строки 


ог гах, -1 
label: 
inc rax 
cmp BYTE PTR [rcx+rax], 0 
jne SHORT label 


; RAX = длина строки 
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Попробуйте написать короче, если хотите инициализировать счетчик нулем! 


Ну, например: 


Листинг 3.65: Наша версия strlen() 


; КСХ = указатель на входную строку 
; КАХ = текущая длина строки 


хог гах, гах 
label: 
cmp byte ptr [rcx+rax], 0 
jz exit 
inc rax 
jmp label 
exit: 


; RAX = длина строки 


Не получилось. Нам придется вводить дополнительную инструкцию ЈМР! 


Что сделал MSVC 2013, так это передвинул инструкцию ІМС в место перед 3a- 
грузкой символа. 


Если самый первый символ — нулевой, всё нормально, ВАХ содержит 0 в этот 
момент, так что итоговая длина строки будет 0. 


Остальную часть функции проще понять. 


3.16.2. х64: Неоптимизирующий ССС 4.9.1 


str_trim: 
push rbp 
mov rbp, rsp 
sub rsp, 32 
mov QWORD PTR [rbp-24], rdi 
; здесь начинается первая часть for() 
mov rax, QWORD PTR [rbp-24] 
mov rdi, rax 
call strlen 
mov QWORD PTR [rbp-8], rax ; str len 
; здесь заканчивается первая часть for() 
јтр ‚12 
; здесь начинается тело Тог() 
15: 
стр BYTE РТА [гЬр-9], 13 ; с=='\г'? 
је 13 
стр BYTE РТА [rbp-9], 10 ; с=='\п'? 
jne 4 
„L3: 
mov rax, QWORD PTR [rbp-8] ; str_len 
lea rdx, [rax-1] ; EDX=str len-1 
mov rax, QWORD PTR [rbp-24] ; s 
add rax, rdx ; RAX=s+str len-1 
mov BYTE PTR [rax], 0 ; s[str 1еп-1]=0 


; тело Тог() заканчивается здесь 
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; здесь начинается третья часть Тог() 


sub QWORD РТА [rbp-8], 1 ; str len-- 
; здесь заканчивается третья часть for() 
‚12: 
; здесь начинается вторая часть Тог() 
стр QWORD РТА [rbp-8], 0 ; str_len==0? 
је 14 ; тогда на выход 
; проверить второе условие, и загрузить "с" 
mov гах, QWORD PTR [rbp-8] ; RAX=str_len 
lea rdx, [rax-1] ; RDX=str_len-1 
mov rax, QWORD PTR [rbp-24] ; RAX=s 
add rax, rdx ; RAX=s+str Леп-1 
тоу2х еах, ВҮТЕ РТВ [гах] ; AL=s[str_len-1] 
тоу BYTE РТА [rbp-9], al ; записать загруженный символ B "с" 
стр BYTE РТА [rbp-9], 0 ; это ноль? 
јпе ‚15 ; да? тогда на выход 
; здесь заканчивается вторая часть Тог() 
‚14: 
; возврат "5" 
mov гах, QWORD PTR [rbp-24] 
leave 
ret 


Комментарии автора. После исполнения strlen(), управление передается на 
метку 12, и там проверяются два выражения, одно после другого. 


Второе никогда не будет проверяться, если первое выражение не истинно 
($ Іеп==0) (это «ѕһогі-сігсиії»). 


Теперь посмотрим на эту функцию в коротком виде: 
• Первая часть Тог() (вызов strlen()) 
e goto 12 
* L5: Тело for(). переход на выход, если нужно 
• Третья часть #ог() (декремент ѕїг Іеп) 


• 12: Вторая часть їог(): проверить первое выражение, затем второе. nepe- 
ход на начало тела цикла, или выход. 


• 14: // выход 


e return s 


3.16.3. x64: Оптимизирующий ССС 4.9.1 


str_trim: 
push rbx 
mov rbx, rdi 
; ВВХ всегда будет "s" 
са11 strlen 
; проверить Ha str 1еп==0 и выйти, если это так 
test rax, rax 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


672 


је 
1еа 


; RDX всегда будет содержать значение ${г Леп-1, но не str len 


19 


гах, [гах-1] 


; так что RDX будет скорее индексом буфера 


Теа 
тоу2х 
test 
je 
cmp 
je 
cmp 
jne 


rsi, [rbx+rdx] 

ecx, BYTE PTR [rsi] ; 
СТ, Сї 

. L9 Н 
cl, 10 

‚14 

cl, 13 ; 
19 


выйти, если это не 


; RSI=s+str_len-1 
загрузить символ 


выйти, если это ноль 


'\п' 


И 


не 


"г" 


‚14: 

; это странная инструкция. нам здесь нужно RSI=s-1 

; это можно сделать, используя MOV RSI, EBX / DEC RSI 
; но это две инструкции между одной 

sub rsi, rax 
s+str_len-1-str_len = 
; начало главного цикла 

‚112: 


; RSI = 5-1 


test rdx, rdx 


; записать ноль по адресу s-l+str_len-1+1 = s-l+str_len = s+str_len-1 


тоу BYTE РТВ [г$1+1+гах], 0 
; проверка на str_len-1==0. выход, если да. 
је 19 
sub rdx, 1 ; эквивалент str len-- 


; загрузить следующий символ по адресу s+str len-1 


тоу2х ecx, BYTE РТА [гЬх+гах] 
test cl, cl ; это ноль? тогда выход 
је 19 
стр cl, 10 ; это '\п'? 
је .112 
стр cl, 13 ; это '\г'? 
је ‚112 
19: 
; возврат "5" 
mov rax, rbx 
pop rbx 
ret 


Тут более сложный результат. Код перед циклом исполняется только один раз, 
но также содержит проверку символов CR/LF! 


Зачем нужна это дублирование кода? 

Обычная реализация главного цикла это, наверное, такая: 
• (начало цикла) проверить символы CR/LF, принять решения 
• записать нулевой символ 


Но ССС решил поменять местами эти два шага. Конечно, шаг записать нулевой 
символ не может быть первым, так что нужна еще одна проверка: 


• обработать первый символ. сравнить его с CR/LF, выйти если символ не 
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равен CR/LF 
• (начало цикла) записать нулевой символ 
• проверить символы CR/LF, принять решения 


Теперь основной цикл очень короткий, а это очень хорошо для современных 
процессоров. 


Код не использует переменную ѕїг Іеп, но г Іеп-1. 


Так что это больше похоже на индекс в буфере. Должно быть, ССС заметил, 
что выражение ѕїг |еп-1 используется дважды. 


Так что будет лучше выделить переменную, которая всегда содержит значе- 
ние равное текущей длине строки минус 1, и уменьшать его на 1 (это тот же 
эффект, что и уменьшать переменную 5їг_|еп). 

3.16.4. АКМ64: Неоптимизирующий ССС (Linaro) 4.9 


Реализация простая и прямолинейная: 


Листинг 3.66: Неоптимизирующий ССС (Шпаго) 4.9 


str_trim: 
stp x29, x30, [sp, -—48]! 
add x29, sp, 0 
str x0, [х29,24] ; скопировать входной аргумент в локальный стек 
1аг x0, [х29, 24] ; s 
bl strlen 
str x0, [х29,40] ; переменная str_len в локальном стеке 
b .L2 
; начало главного цикла 
М Кы 
ldrb w0, [x29,39] 
; WO=c 
cmp w0, 13 ; это '\г'? 
beq L3 
ldrb w0, [x29,39] 
; М=с 
cmp w0, 10 ; это '\п'? 
рпе . L4 ; перейти в конец, если нет 
„L3: 
1аг x0, [х29,40] 
; ХӨ=51г len 
sub x0, x0, #1 
; ХӨ=51г len-1 
1аг х1, [х29,24] 
; Х1=5 
ааа x0, х1, x0 
; ХӨ=5+51г len-1 
strb wzr, [x0] ; записать байт Ha s+str len-1 


; декремент str len: 
1аг x0, [х29,40] 
; ХӨ=51г len 
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sub x0, x0, #1 
; X0=str_len-1 

str x0, [x29,40] 
; сохранить ХӨ (или str_len-1) в локальном стеке 
‚12: 

1аг x0, [х29,40] 
; ${г 1еп==0? 

стр х0, х2г 
; перейти на выход, если да 

beq 14 

1аг x0, [х29,40] 
; ХӨ=51г Леп 

sub x0, x0, #1 
; X0=str_len-1 

ldr x1, [х29,24] 
; Х1=5 

ааа x0, х1, x0 


X0=s+str_len-1 

загрузить байт по адресу s+str_ 1еп-1 в М0 
ldrb w0, [x0] 
strb w0, [x29,39] ; сохранить загруженный байт в "с" 
1агЫ w0, [х29,39] ; перезагрузить его 

; это нулевой байт? 


стр №0, wzr 
; перейти на конец, если это ноль, или на 15, если нет 
bne ‚15 
‚14: 
; возврат $ 
1аг х0, [х29, 24] 
1ар x29, x30, [sp], 48 
ret 


3.16.5. ARM64: Оптимизирующий GCC (Linaro) 4.9 


Это более продвинутая оптимизация. Первый символ загружается B самом Ha- 
чале и сравнивается с 10 (символ LF). 


Символы также загружаются и в главном цикле, для символов после первого. 


Это в каком смысле похоже на этот пример: 3.16.3 (стр. 671). 


Листинг 3.67: Оптимизирующий ССС (Linaro) 4.9 


str_trim: 
stp x29, x30, [sp, -32]! 
add x29, sp, 0 
str x19, [sp,16] 
mov x19, x0 
; X19 всегда будет содержать значение "s" 
bl strlen 
; ХӨ=51г Леп 
cbz x0, .19 ; перейти на 19 (выход), если str 1еп==0 
sub x1, x0, #1 
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; ХІ=ХӨ-1=51г 1еп-1 


ааа x3, x19, х1 
; ХЗ=Х19+Х1=5+51г 1еп-1 
ldrb w2, [x19,x1] ; загрузить байт по адресу Х19+Х1=5+51їг len-1 
; М2=загруженный символ 
cbz w2, .19 ; это ноль? тогда перейти на выход 
стр м2, 10 ; это '\п'? 
рпе ‚115 
‚112: 
; тело главного цикла. загруженный символ в этот момент всегда 10 или 13! 
sub x2, x1, x0 
; Х2=Х1-ХӨ=51г Леп-1-51г Леп=-1 
ааа х2, х3, х2 
; Х2=Х3+Х2=5+51г Леп-1+(-1) =5+51г 1еп-2 
strb wzr, [x2,1] ; записать нулевой байт по адресу 
s+str_len-2+1=s+str_len-1 
cbz x1, .19 ; str_len-1==0? перейти на выход, если это так 
sub х1, x1, #1 ; str_len-- 
ldrb w2, [x19,x1] ; загрузить следующий символ по адресу 
Х19+Х1=5+51г 1еп-1 
стр м2, 10 ; это '\п'? 
cbz w2, .19 ; перейти на выход, если это ноль 
beq . L12 ; перейти на начало цикла, если это '\п' 
„115: 
стр м2, 13 ; это '\г'? 
beq . L12 ; да, перейти на начало тела цикла 
19: 
; возврат "5" 
mov x0, x19 
ldr x19, [sp,16] 
1ар x29, x30, [sp], 32 
ret 


3.16.6. ARM: Оптимизирующий Keil 6/2013 (Режим ARM) 


И снова, компилятор пользуется условными инструкциями в режиме ARM, no- 
этому код более компактный. 


Листинг 3.68: Оптимизирующий Keil 6/2013 (Режим АВМ) 


str_trim PROC 


PUSH {r4, lr} 
; RO=s 
MOV г4 , го 
; №4=5 
BL strlen ; strlen() берет значение "s" из RO 
; RO=str_len 
MOV r3,#0 
; ВЗ всегда будет содержать 0 
10. 16| 
СМР го, #0 ; ${г 1еп==0? 
АБОМЕ г2 , г4, г ; (если ѕїг 1еп!=0) R2=R4+R0=s+str_ len 


1 ОВВМЕ г1,[72,#-1] ; (если 5%г 1еп!=0) В1=загрузить байт по адресу 
А2-1=5+51г_1еп-1 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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СМРМЕ г1,#0 ; (если ѕ1г 1еп!=0) сравнить загруженный байт с 

BEQ [10.56 | ; перейти на выход, если str 1еп==0 или если 
загруженный байт - это 0 

СМР г1,#0ха ; загруженный байт - это '\г'? 


СМРМЕ г1,#0ха } 
(если загруженный байт - это не '\г') загруженный байт - это '\г'? 
ЅОВЕО го, го, #1 ; 
(если загруженный байт - это '\г' или '\п') В0-- или str Теп-- 
ЅТАВЕО r3,[r2,#-1] ; (если загруженный байт - это '\г' или '\п') 
записать R3 (ноль) по адресу В2-1=5+${г_Теп-1 
BEQ [10.16 | Ё 
перейти на начало цикла, если загруженный байт был '\г' или '\п' 
110.56 | 
; возврат "5" 


MOV го, г4 
РОР {r4, pc} 
ENDP 


3.16.7. АКМ: Оптимизирующий Keil 6/2013 (Режим Thumb) 


В режиме Thumb куда меньше условных инструкций, так что код более npo- 
стой. 


Но здесь есть одна странность со сдвигами Ha 0x20 и Ox1F (строки 22 и 23). 


Почему компилятор Ке! сделал так? Честно говоря, трудно сказать. Возможно, 
это выверт процесса оптимизации компилятора. 


Тем не менее, код будет работать корректно. 


Листинг 3.69: Оптимизирующий Keil 6/2013 (Режим Thumb) 


str_trim PROC 


PUSH {г4,1г} 
MOVS г4 , гө 
; №4=5 
BL strlen ; strlen() берет значение "s" из RO 
; RO=str_len 
MOVS r3,#0 
; R3 всегда будет содержать 0 
В [10.24 | 
10. 12 | 
СМР г1,#0ха ; загруженный байт - это '\г'? 
BEQ [10.20 | 
СМР г1,#0ха ; загруженный байт - это '\п'? 
ВМЕ 1.0.38 | ; перейти на выход, если нет 
[10.20 | 
SUBS r0,r0,#1 ; RO-- или str_len-- 
STRB r3,[r2,#0x1f] ; записать © по адресу 
В2+09х1Е=5+5{г 1еп-0х20+0х1Е=5+51г 1еп-1 
10.24 | 
СМР го, #0 ; str_len==0? 
ВЕО 1.0.38 | ; да? тогда перейти на выход 
ADDS г2,г4, го ; R2=R4+R0=s+str_len 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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SUBS 
LDRB 


r2,r2,#0x20 
r1,[r2,#0x1f] 


; R2=R2-0x20=s+str_len-0x20 
; загрузить байт по адресу 


R2+0x1F=s+str_len-0x20+0x1F=s+str_len-1 в R1 


CMP r1,#0 ; загруженный байт - это 0? 

ВМЕ [10.12 | ; перейти на начало цикла, если это не 0 
[10.38 | 
; возврат "5" 

MOVS го, г4 

РОР {r4, pc} 

ENDP 


3.16.8. MIPS 


Листинг 3.70: Оптимизирующий ССС 4.4.5 (IDA) 


ѕіг гіт: 


; IDA не в курсе об именах переменных, мы присвоили их сами: 


ѕамеа СР 
ѕамеа 50 
ѕауеа ВА 


оттуда: 


; результат strl 


вызов strlen(). 


= —0х10 
= -8 
= —4 
lui $gp, (пи 1оса1 ор >> 16) 
addiu $sp, -0x20 
la $gp, (__опи 1оса1_ор & 0xFFFF) 
Sw $ra, 0x20+saved_RA($sp) 
Sw $50, 0x20+saved_S0($sp) 
sw $gp, 0x20+saved_GP($sp) 
адрес входной строки всё еще в $a0, strlen() возьмет его 
1м $19, (strlen & 0OxFFFF)($gp) 
or $at, $zero ; load delay slot, NOP 
jalr $t9 
; адрес входной строки всё еще в $а0, переложить его в $50: 
поме $50, $аб ; branch delay slot 
еп() (т.е., длина строки) теперь B $\0 
перейти на выход, если $\0==0 (т.е., если длина строки это 0): 
beqz $v0, exit 
or $at, $zero ; branch delay slot, NOP 
addiu $al, $v0, -1 


; $al = 


; $а1 = 


addu 


$v0-1 = str_len-1 


$al, $50, $al 


адрес входной строки + $al = s+strlen-1 
загрузить байт по адресу $а1: 


lb $a0, 0($а1) 
or $at, $zero ; load delay slot, NOP 

; загруженный байт - это ноль? перейти на выход, если это так: 
ред2 $а0, exit 
ог $аї, $хего ; branch delay slot, МОР 
addiu $v1, $v0, -2 

; $v1 = str len-2 
addu $v1, $50, $v1 

; $v1 = $s0+$v1 = s+str_len-2 


li 


$a2, 0xD 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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‚ пропустить тело цикла: 


b loc_6C 

li фаз, OXA ; branch delay slot 
loc 5C: 
; загрузить следующий байт из памяти в $a0: 

16 $аб, O($v1) 

move $al, $v1 


; $al=s+str_len-2 

; перейти на выход, если загруженный байт - это ноль: 
ред2 $а0, ехії 

; декремент str Леп: 


addiu $v1, -1 ; branch delay slot 
loc 6C: 
; B этот момент, $абд=загруженный байт, $a2=0xD (символ CR) n $a3=0xA (символ 
LF 
| а жыш байт - это СВ? тогда перейти на loc 7С: 
beq $a0, $a2, loc 7C 
addiu $v0, -1 ; branch delay slot 
; загруженный байт - это LF? перейти на выход, если это не LF: 
bne $a0, $a3, exit 
or $at, $zero ; branch delay slot, NOP 
loc_7C: 


; загруженный байт в этот момент это CR 

; перейти на loc 5c (начало тела цикла) если str_len (в $\0) не ноль: 
bnez $\0, loc 5C 

; одновременно с этим, записать ноль в этом месте памяти: 


sb $zero, 0($а1) ; branch delay slot 
; метка "exit" была так названа мною: 
ех1ї: 

1м $га, 0х20+ѕамеа ВА($5р) 

поме $\0, $50 

lw $50, 0x20+saved_S0($sp) 

jr $ra 

addiu $sp, 0x20 ; branch delay slot 


Регистры с префиксом S- называются «saved temporaries», так что, значение 
$50 сохраняется в локальном стеке и восстанавливается во время выхода. 


3.17. Функция ёоиррек() 


Еще одна очень востребованная функция конвертирует символ из строчного в 
заглавный, если нужно: 


char toupper (char с) 


{ 
if(c>='a' && c<='z') 
return с-'а'+'А'; 
else 
return с; 
} 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


осо моол Био мон 


679 
Выражение 'а'+'А' оставлено в исходном коде для удобства чтения, конечно, 
оно соптимизируется 
21 


А5СІІ-код символа «а» это 97 (или 0x61), и 65 (или 0x41) для символа «А». 
Разница (или расстояние) между ними в АЗС!-таблице это 32 (или 0x20). 


Для лучшего понимания, читатель может посмотреть на стандартную 7-битную 
таблицу ASCII: 


Рис. 3.3: 7-битная таблица ASCII в Emacs 


3.17.1. x64 
Две операции сравнения 


Неоптимизирующий MSVC прямолинеен: код проверят, находится ли входной 
символ в интервале [97..122] (или в интервале [‘а’..'7'] ) и вычитает 32 в таком 
случае. 


Имеется также небольшой артефакт компилятора: 


Листинг 3.71: Неоптимизирующий MSVC 2013 (x64) 


Сф = 8 
Тоиррег PROC 

mov BYTE PTR [rsp+8], cl 

ПОМ5Х eax, BYTE РТА с$[г5р] 

стр еах, 97 

jl SHORT $LN2@toupper 

movsSx eax, BYTE PTR с$[г<р] 

cmp eax, 122 

jg SHORT $LN2@toupper 

ПОМ5Х eax, BYTE РТА с$[г5р] 

sub eax, 32 

jmp SHORT $LN3@toupper 

jmp SHORT $LN1@toupper ; артефакт компилятора 
$LN2@toupper: 

тоу2х eax, BYTE РТА с$[г<р] ; необязательное приведение типов 


21Впрочем, если быть дотошным, вполне могут до сих пор существовать компиляторы, которые 
не оптимизируют подобное и оставляют в коде. 
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$LN1@toupper: 

$LN3@toupper: ; артефакт компилятора 
геї 0 

Фоиррег ЕМОР 


Важно отметить что (на строке 3) входной байт загружается в 64-битный слот 
локального стека. 


Все остальные биты ([8..63]) не трогаются, т.е. содержат случайный шум (вы 
можете увидеть его в отладчике). 


Все инструкции работают только с байтами, так что всё нормально. 


Последняя инструкция MOVZX на строке 15 берет байт из локального стека и 
расширяет его до 32-битного int, дополняя нулями. 


Неоптимизирующий ССС делает почти то же самое: 


Листинг 3.72: Неоптимизирующий ССС 4.9 (х64) 


Тоиррег: 
push rbp 
mov rbp, rsp 
mov eax, edi 
mov BYTE PTR [rbp-4], al 
cmp BYTE PTR [rbp-4], 96 
jle ‚12 
стр BYTE РТА [rbp-4], 122 
19 ‚12 
тоу2х eax, BYTE РТА [rbp-4] 
sub eax, 32 
jmp 13 
„2* 
тоу2х eax, BYTE РТА [гбр-4] 
.ЕЗ: 
рор rbp 
ret 


Одна операция сравнения 


Оптимизирующий MSVC работает лучше, он генерирует только одну операцию 
сравнения: 


Листинг 3.73: Оптимизирующий MSVC 2013 (x64) 


Тоиррег PROC 


lea eax, DWORD PTR [гсх-97] 
cmp al, 25 
ja SHORT $LN2@toupper 
movsx eax, cl 
sub eax, 32 
ret 0 

$LN2@toupper: 


тоу2х еах, сї 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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геї 0 
Фоиррег ЕМОР 


Уже было описано, как можно заменить две операции сравнения на одну: 3.11.2 
(стр. 640). 


Мы бы переписал это на Си/Си+-+так: 


int 4тр=с-97; 


if (tmp>25) 

return C; 
else 

return с-32; 


Переменная tmp должна быть знаковая. 


При помощи этого, имеем две операции вычитания в случае конверсии плюс 
одну операцию сравнения. 


В то время как оригинальный алгоритм использует две операции сравнения 
плюс одну операцию вычитания. 


Оптимизирующий ССС даже лучше, он избавился от переходов (а это хорошо: 
2.4.1 (стр. 586)) используя инструкцию СМО\сс: 


Листинг 3.74: Оптимизирующий ССС 4.9 (х64) 


їоиррег: 
1еа edx, [791-97] ; 0x61 
1еа eax, [791-32] ; 0x20 
стр dl, 25 
стома eax, edi 
ret 


На строке 3 код готовит уже сконвертированное значение заранее, как если 
бы конверсия всегда происходила. 


На строке 5 это значение в ЕАХ заменяется нетронутым входным значением, 
если конверсия не нужна. И тогда это значение (конечно, неверное), просто 
выбрасывается. 


Вычитание с упреждением это цена, которую компилятор платит за отсут- 
ствие условных переходов. 
3.17.2. АКМ 


Оптимизирующий Keil для режима ARM также генерирует только одну опера- 
цию сравнения: 


Листинг 3.75: Оптимизирующий Кей 6/2013 (Режим АВМ) 


Тоиррег PROC 
SUB rl,r0,#0x61 
CMP г1,#0х19 
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SUBLS r0, го, #0х20 
АМО 5 го, го, #0хТТ 
ВХ 1г 

ЕМОР 


SUBLS и АМОЕ$ исполняются только если значение R1 меньше чем 0x19 (или 
равно). Они и делают конверсию. 


Оптимизирующий Keil для режима Thumb также генерирует только одну one- 
рацию сравнения: 


Листинг 3.76: Оптимизирующий Кей 6/2013 (Режим Thumb) 


Тоиррег PROC 


MOVS г1, го 

SUBS г1,г1,#0х61 

СМР г1,#0х19 

ВНІ 10.14 | 

SUBS гб, го, #0х20 

LSLS гб, го, #24 

1585 го, го, #24 
[10.14 | 

ВХ tr 

ENDP 


Последние две инструкции LSLS и LSRS работают Kak AND reg, ОхЕЕ: это aHa- 
лог Си/Си++-выражения (i << 24) >> 24. 


Очевидно, Кей для режима Thumb решил, что две 2-байтных инструкции это 
короче чем код, загружающий константу ОхҒЕ плюс инструкция AND. 


ССС для ARM64 


Листинг 3.77: Неоптимизирующий ССС 4.9 (АВМ64) 


їоиррег: 
sub sp, sp, #16 
strb w0, [sp,15] 
ldrb w0, [sp,15] 
cmp w0, 96 


bls . L2 
1ағь w0, [5р, 15] 
стр м0, 122 
bhi ‚12 
ldrb w0, [sp,15] 
sub w0, w0, #32 
uxtb w0, м0 
b i3 
‚12: 
1агЫ №0, [5р,15] 
„L3: 
add sp, sp, 16 
ret 
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Листинг 3.78: Оптимизирующий ССС 4.9 (ARM64) 


їоиррег: 
uxtb w0, м0 
sub wl, w0, #97 
uxtb wl, м1 
cmp wl, 25 
bhi .L2 
sub w0, w0, #32 


uxtb w0, мо 
‚12: 
геї 


3.17.3. Используя битовые операции 


Учитывая тот факт, что 5-й бит (считая с 0-го) всегда присутствует после про- 
верки, вычитание его это просто сброс этого единственного бита, но точно та- 
кого же эффекта можно достичь при помощи обычного применения операции 
“И”. 


И даже проще, с исключающим ИЛИ: 


char toupper (char с) 


{ 
if(c>='a' && c<='z') 
return c^0x20; 
else 
return C; 
} 


Код близок к тому, что сгенерировал оптимизирующий GCC для предыдущего 
примера (3.74 (стр. 681)): 


Листинг 3.79: Оптимизирующий ССС 5.4 (х86) 


їоиррег: 
mov edx, DWORD PTR [esp+4] 
lea ecx, [edx-97] 
mov eax, edx 
xor eax, 32 
cmp cl, 25 
cmova eax, edx 
ret 


...но используется XOR вместо SUB. 


Переворачивание 5-го бита это просто перемещение курсора в таблице ASCII 
вверх/вниз на 2 ряда. 


Некоторые люди говорят, что буквы нижнего/верхнего регистра были расстав- 
лены в А5С!-таблице таким манером намеренно, потому что: 
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Very old keyboards used їо do Shift just Бу toggling the 32 ог 16 
bit, depending on the key; this is why the relationship between small 
and capital letters in ASCII is so regular, and the relationship between 
numbers and symbols, and some pairs of symbols, is sort of regular if 
you squint at it. 


( Eric S. Raymond, http://www. catb.org/esr/faqs/things-every-hacker-once-knew/ 


) 


Следовательно, мы можем написать такой фрагмент кода, который просто ме- 
няет регистр букв: 


#include <stdio.h> 
char flip (char c) 
{ 
if((c>='a' && c<='z') || (с>='А' && с<='7')) 
return c^0x20; 
else 
return с; 
} 
int main() 
{ 
// выдаст "hELLO, WORLD!" 
for (char *<="Не11о‚ world!"; ж5; $++) 
printf ("%c", flip(*s)); 
}; 


3.17.4. Итог 


Все эти оптимизации компиляторов очень популярны в наше время и практи- 
кующий reverse engineer обычно часто видит такие варианты кода. 


3.18. Обфускация 


Обфускация это попытка спрятать код (или его значение) от reverse епдтеег-а. 


3.18.1. Текстовые строки 


Как мы знаем из (5.4 (стр. 901)) текстовые строки могут быть крайне полезны. 
Знающие об этом программисты могут попытаться их спрятать так, чтобы их 
не было видно в IDA или любом шестнадцатеричном редакторе. 


Вот простейший метод. 


Вот как строка может быть сконструирована: 
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mov byte ptr [ebx], 'h' 
mov byte ptr [ebx+1], 'e' 
mov byte ptr [ebx+2], '1' 
mov byte ptr [ebx+3], '1' 
mov byte ptr [ebx+4], 'o' 
mov byte ptr [ebx+5], ' ' 
mov byte ptr [ebx+6], 'w' 
mov byte ptr [ebx+7], 'o' 
mov byte ptr [ebx+8], 'r' 
mov byte ptr [ebx+9], '1' 
mov byte ptr [ebx+10], 'd' 


Строка также может сравниваться с другой: 


mov ebx, offset username 
cmp byte ptr [ebx], 'j' 
jnz fail 

cmp byte ptr [ebx+1], 'o' 
jnz fail 

cmp byte ptr [ebx+2], 'h' 
jnz fail 

cmp byte ptr [ebx+3], 'n' 
jnz fail 

jz it_is_john 


В обоих случаях, эти строки нельзя так просто найти в шестнадцатеричном 
редакторе. 


Кстати, точно также со строками можно работать в тех случаях, когда строку 
нельзя разместить в сегменте данных, например, в PIC??, или B шелл-коде. 


Еще метод с использованием функции sprintf() для конструирования: 


sprintf (buf, "%5%С%5%С%5", "һе1",'1',"о м", 'о'," га"); 


Код выглядит ужасно, но как простейшая мера для анти-реверсинга, это мо- 
жет помочь. 


Текстовые строки могут также присутствовать в зашифрованном виде, в таком 
случае, их использование будет предварять вызов функции для дешифровки. 


Например: 8.6.2 (стр. 1057). 


3.18.2. Исполняемый код 
Вставка мусора 


Обфускация исполняемого кода — это вставка случайного мусора (между на- 
стоящим кодом), который исполняется, но не делает ничего полезного. 


Просто пример: 


22 Position Independent Code 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Листинг 3.80: оригинальный код 


ааа eax, ebx 
mul ecx 
Листинг 3.81: obfuscated code 

xor esi, 011223344h ; мусор 

add esi, eax ; мусор 

ааа еах, еһх 

тоу edx, eax ; мусор 

shl edx, 4 ; Mycop 

mul ecx 

xor esi, ecx ; Mycop 


Здесь код-мусор использует регистры, которые не используются в настоящем 
коде (ESI и EDX). Впрочем, промежуточные результаты полученные при испол- 
нении настоящего кода вполне могут использоваться кодом-мусором для боль- 
шей путаницы — почему нет? 


Замена инструкций на раздутые эквиваленты 


MOV ор1, ор2 может быть заменена на пару PUSH ор2 / РОР opl. 


JMP label может быть заменена на пару PUSH label / ВЕТ. IDA не пока- 
жет ссылок на эту метку. 


CALL label может быть заменена на следующую тройку инструкций: 
PUSH label_after CALL instruction / PUSH label / ВЕТ. 


PUSH ор также можно заменить на пару инструкций: SUB ESP, 4 (или 8) 
/ MOV [ESP], ор. 


Всегда исполняющийся/никогда не исполняющийся код 


Если разработчик уверен, что в ESI всегда будет 0 в этом месте: 


mov 
dec 
cmp 
jz 


esi, 1 

; какой-то He трогающий ESI код 
еѕі 

; какой-то не трогающий ЕЅІ код 
еѕі, 0 

real_code 


; фальшивый багаж 
геа1 сояе: 


Reverse епдіпеег-у понадобится какое-то время чтобы с этим разобраться. 


Это также называется opaque predicate. 


Еще один пример (и снова разработчик уверен, что ESI — всегда ноль): 


; Е51=0 


ааа 


еах, ерх ; реальный код 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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mul 
add 


ecx 
eax, esi 
AND nnn SHL, n T. 


; реальный код 
; opaque predicate. 
д. 


вместо ADD тут может быть ХОВ, 


Сделать побольше путаницы 


instruction 1 
instruction 2 
instruction 3 


Можно заменить на: 


begin: jmp іпѕ1 label 
ins2_label: instruction 2 

jmp ins3_label 
ins3_label: instruction 3 

jmp exit: 
ins1_label: instruction 1 

jmp іп52 label 
exit: 


Использование косвенных указателей 


dummy да+а1 db 100h dup (0) 
messagel db 'hello мог1а',0 
dummy data2 db 200h dup (0) 
пеѕѕаде2 db 'another теѕѕаде', 0 
Типс ргос 

mov 

add eax, 100h 

push eax 

call dump_string 

mov 

add eax, 200h 

push eax 

call dump_string 
func endp 


eax, offset dummy_datal ; PE or ELF reloc here 


eax, offset dummy data2 ; РЕ ог ELF reloc here 


IDA покажет ссылки Ha dummy datal n dummy data2, но не на сами текстовые 


строки. 


К глобальным переменным и даже функциям можно обращаться так же. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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3.18.3. Виртуальная машина / псевдо-код 


Программист может также создать свой собственный ЯП или ISA и интерпре- 
татор для него. 


(Как версии Visual Basic перед 5.0, .МЕТ или ]ауа-машины.) 


Reverse епдіпеег-у придется потратить какое-то время для понимания дета- 
лей всех инструкций в 15А. Ему также возможно придется писать что-то вроде 
дизассемблера/декомпилятора. 


3.18.4. Еще кое-что 


Моя попытка (хотя и слабая) пропатчить компилятор Тту С чтобы он выдавал 
обфусцированный код: Пр: / /Б109.уигісһеу. сот/поде/58. 


Использование инструкции MOV для действительно сложных вещей: [Stephen 
Dolan, том is Turing-complete, (2013)] 23. 


3.18.5. Упражнение 
• Пр: //сһа11епдеѕ. ге/29 


3.19. Си++ 


3.19.1. Классы 
Простой пример 


Внутреннее представление классов в Си+ + почти такое же, как и представле- 
ние структур. 


Давайте попробуем простой пример с двумя переменными, двумя конструкто- 
рами и одним методом: 


#include <stdio.h> 


class c 
{ 
private: 
int vl; 
int v2; 
public: 
c() // конструктор по умолчанию 
{ 
ү1=667; 
\2=999; 
$; 


c(int а, int b) // конструктор 


23Также доступно здесь: һїїр: //ммм. сі. сат.ас.иК/-$9601/рарег$/то\. рат 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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\1=а; 
v2=b; 
}; 


void dump() 
{ 


}; 


printf ("%а; %d\n", v1, v2); 


int main() 


class c cl; 
class с с2(5,6); 


cl.dump(); 
c2.dump(); 


return 0; 


}; 


М$\УС: x86 


Вот как выглядит ма1п() на ассемблере: 


Листинг 3.82: MSVC 


_с2$ = -16 ; size = 8 
_c1l$ = -8 ; 5176 = 8 
_таіп PROC 

push ebp 

mov ebp, esp 

sub esp, 16 


lea ecx, DWORD PTR _с1$[ерр] 
call ??0c@@QQAE@XZ ; с::с 

push 6 

push 5 

lea ecx, DWORD PTR _c2$[ebp] 
call ??0с@@0АЕ@НН@7 ; c::c 

lea ecx, DWORD PTR _с1$[ерр] 
call ?dump@c@@QAEXXZ ; c::dump 
lea ecx, DWORD PTR c2$[ebp] 
call ?dump@c@@QAEXXZ ; c::dump 
xor eax, eax 

mov esp, ebp 


pop ebp 
ret 0 
_main ENDP 


Вот что происходит. Под каждый экземпляр класса с выделяется по 8 байт, 
столько же, сколько нужно для хранения двух переменных. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Для Cl вызывается конструктор по умолчанию без аргументов ??0 с@@ЦАЕ@Х/. 
Для с2 вызывается другой конструктор ??©с@@бАЕ@НН@7 и передаются два чис- 
ла в качестве аргументов. 


А указатель на объект (this в терминологии Си++) передается в регистре ECX. 
Это называется thiscall (3.19.1 (стр. 690)) — метод передачи указателя на объ- 
ект. 


В данном случае, М5\/С делает это через ЕСХ. Необходимо помнить, что это не 
стандартизированный метод, и другие компиляторы могут делать это иначе, 
например, через первый аргумент функции (как ССС). 


Почему у имен функций такие странные имена? Это пате mangling. 


В Си++, у класса, может иметься несколько методов с одинаковыми именами, 
но аргументами разных типов — это полиморфизм. Ну и конечно, у разных 
классов могут быть методы с одинаковыми именами. 


Мате mangling позволяет закодировать имя класса + имя метода + типы всех 
аргументов метода в одной А$С!-строке, которая затем используется как BHYT- 
реннее имя функции. Это все потому что ни компоновщик?“, ни загрузчик DLL 
ОС (мангленные имена могут быть среди экспортов/импортов в ОШ), ничего 
не знают о Си++или ООП??. 


Далее вызывается два раза Читр(). 


Теперь смотрим на код в конструкторах: 


Листинг 3.83: MSVC 


1015$ = -4 ; size = 4 
??0с@@дАЕ@ХУ PROC ; с::с, COMDAT 
; this$ = ecx 
push ebp 
mov ebp, esp 
push ecx 
mov DWORD PTR this$[ebp], ecx 
mov eax, DWORD PTR +һіѕ$[ерр] 
mov DWORD PTR [eax], 667 
mov ecx, DWORD РТВ _this$[ebp] 
mov DWORD PTR [ecx+4], 999 
mov eax, DWORD PTR _this$[ebp] 
mov esp, ebp 
pop ebp 
ret 0 
??0c@@QAE@XZ ENDP ; с::с 


_this$ = -4 ; size= 4 
_а$ = 8 ; 5іле = 4 
_b$ = 12 ; Size = 4 


??0с@@дАЕ@ННей PROC ; с::с, COMDAT 
; {015$ = ecx 
push ebp 


24linker 
25Объектно-Ориентированное Программирование 
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mov ebp, esp 
push ecx 
mov DWORD PTR this$[ebp], ecx 
mov eax, DWORD PTR _this$[ebp] 
mov ecx, DWORD PTR _a$[ebp] 
mov DWORD PTR [eax], ecx 
mov edx, DWORD РТА this$[ebp] 
mov eax, DWORD PTR b$[ebp] 
mov DWORD PTR [edx+4], eax 
mov eax, DWORD PTR _this$[ebp] 
mov esp, ebp 
pop ebp 
ret 8 

??О0с@@0АЕ@НН@7 ENDP ; с::с 


Конструкторы — это просто функции, они используют указатель на структуру 
в ЕСХ, копируют его себе в локальную переменную, хотя это и не обязательно. 


Из стандарта Си++мы знаем (С++11 12.1) что конструкторы не должны воз- 
вращать значение. В реальности, внутри, конструкторы возвращают указатель 
на созданный объект, T.e., this. 


И еще метод дитр(): 
Листинг 3.84: MSVC 


1015$ = -4 ; size = 4 
?Ааитр@с@@дАЕХХ7 PROC ; c::dump, COMDAT 
; this$ = ecx 

push ebp 

mov ebp, esp 

push ecx 

mov DWORD PTR this$[ebp], ecx 

mov eax, DWORD PTR _this$[ebp] 

mov ecx, DWORD PTR [eax+4] 

push ecx 

mov edx, DWORD РТВ _this$[ebp] 

mov eax, DWORD PTR [edx] 

push eax 

push OFFSET ?? Са 07МЈВОСІЕСа?ФСҒа? $01 ?5?ФСЕа?6?$АА@ 

call _рг1пїї 


add esp, 12 
mov esp, ebp 
pop ebp 

ret 0 


?dump@c@@QAEXXZ ЕМОР ; c::dump 


Все очень просто, dump () берет указатель на структуру состоящую из двух int 
через ECX, выдергивает оттуда две переменные и передает их в printf(). 


А если скомпилировать с оптимизацией (/0х), то кода будет намного меньше: 


Листинг 3.85: MSVC 


??0с@@д0АЕ@Х7 PROC ; с::с, COMDAT 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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; this$ = ecx 
тоу еах, есх 
mov DWORD PTR [eax], 667 
mov DWORD PTR [eax+4], 999 
ret 0 

??0c@@QAE@XZ ENDP ; с::с 


_а$ 8 ; 512е = 4 
_6$ 12 ; size = 4 
??0с@@дАЕ@ННей PROC ; с::с, COMDAT 
; this$ = ecx 
mov edx, DWORD РТВ 60$ [еѕр-4] 
тоу еах, есх 
mov ecx, DWORD РТВ _а$[е<р-4] 
mov DWORD PTR [eax], ecx 
mov DWORD PTR [eax+4], edx 
ret 8 
??0с@@дАЕ@ННей ENDP ; с::с 


?dump@c@@QAEXXZ PROC ; c::dump, COMDAT 
; 1015$ = ecx 
mov eax, DWORD PTR [есх+4] 
mov ecx, DWORD PTR [ecx] 
push eax 
push ecx 
push OFFSET ?? Са 07МЈВОСІЕСО? $СҒа? $01 ?5?$СРа?6?$ААа 
call _рг1пїї 
add esp, 12 
ret 0 
?dump@c@@QAEXXZ ЕМОР ; c::dump 


Вот и все. Единственное о чем еще нужно сказать, это O том, что в функции 
паіп(), когда вызывался второй конструктор с двумя аргументами, за ним не 
корректировался стек при помощи ада еѕр, Х. В то же время, в конце кон- 
структора вместо ВЕТ имеется ВЕТ 8. 


Это потому что здесь используется thiscall (3.19.1 (стр. 690)), который, вместе 
с заса! (6.1.2 (стр. 940)) (все это — методы передачи аргументов через стек), 
предлагает вызываемой функции корректировать стек. Инструкция геї Х сна- 
чала прибавляет X к ESP, затем передает управление вызывающей функции. 


См. также в соответствующем разделе о способах передачи аргументов через 
стек (6.1 (стр. 940)). 


Еще, кстати, нужно отметить, что именно компилятор решает, когда вызывать 
конструктор и деструктор — но это и так известно из основ языка Си++. 


М$\С: х86-64 


Как мы уже знаем, в х86-64 первые 4 аргумента функции передаются через 
регистры RCX, RDX, R8, R9, а остальные — через стек. Тем не менее, указатель 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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на объект this передается через RCX, а первый аргумент метода — в RDX, ит. д. 
Здесь это видно во внутренностях метода с(іпі а, int b): 


Листинг 3.86: Оптимизирующий MSVC 2012 x64 


; void аитр() 


?Ааитр@с@@дЕААХХ7 PROC ; с: : Читр 
тоу r8d, DWORD РТВ [гсх+4] 
mov edx, DWORD PTR [rcx] 
lea rcx, OFFSET FLAT:?? Са O7NJBDCIEC@Q?$CFd?$DL?5?$CFd?67?$AAQ ; 
jmp printf 
?dump@c@@QEAAXXZ ENDP ; c::dump 


; c(int a, int b) 


??Oc@Q@QEAAGHHEZ PROC ; c::c 


mov DWORD PTR [rcx], edx ; первый аргумент: а 
mov DWORD РТВ [rcx+4], r8d ; второй аргумент: b 
mov rax, rcx 

ret 0 


??0с@а@дЕАА@ННа7 ENDP ; с: :с 
; конструктор по умолчанию 


??0с@@дЕАА@Х7 PROC ; с: :с 
mov DWORD PTR [rcx], 667 
mov DWORD PTR [rcx+4], 999 
mov rax, rcx 
ret 0 

??0с@@дЕАА@Х7 ЕМОР ; с: :с 


Тип int в x64 остается 32-битным 26, поэтому здесь используются 32-битные 
части регистров. 


В методе дитр() вместо ВЕТ мы видим JMP printf, этот хак мы рассматривали 
ранее: 1.21.1 (стр. 203). 
ССС: х86 


В ССС 4.4.1 всё почти так же, за исключением некоторых различий. 


Листинг 3.87: ССС 4.4.1 


public main 
main proc near 


var_20 = dword ptr -20h 
var_1C = dword ptr -1Ch 
var_18 = dword ptr -18h 
var_10 = dword ptr -10h 


26Видимо, так решили для упрощения портирования Си/Си++-кода Ha x64 
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маг 8 = dword ptr -8 


push ebp 
mov ebp, esp 
and esp, OFFFFFFFOh 
sub esp, 20h 
lea eax, [esp+20h+var 8] 
mov [esp+20h+var 20], eax 
call _ZN1cC1Ev 
mov [esp+20h+var_18], 6 
mov [esp+20h+var_1C], 5 
lea eax, [esp+20h+var 10] 
mov [esp+20h+var 20], eax 
call _7М№1сС1Е1 1 
lea eax, [esp+20h+var 8] 
mov [esp+20h+var 20], eax 
call _7М1с4дитрЕ\ 
lea eax, [esp+20h+var 10] 
mov [esp+20h+var 20], eax 
call _7М1с4дитрЕ\ 
mov еах, 0 
leave 
retn 

main endp 


Здесь мы видим, что применяется иной name mangling характерный для стан- 
дартов GNU 27 Во-вторых, указатель на экземпляр передается как первый ap- 


гумент функции — конечно же, скрыто от программиста. 


Это первый конструктор: 


public _ZN1cC1Ev ; weak 


_ZN1cC1Ev proc near ; CODE XREF: main+10 
arg 0 = dword ptr 8 
push ebp 
mov ebp, esp 
mov eax, [ebp+arg_0] 
mov dword ptr [eax], 667 
mov eax, [ebp+arg_0] 
mov dword ptr [eax+4], 999 
pop ebp 
retn 
_ZN1cC1Ev endp 


OH просто записывает два числа по указателю, переданному в первом (иедин- 


ственном) аргументе. 


Второй конструктор: 


27 Еще о пате mangling разных компиляторов: 
[Agner Fog, Calling conventions (2015)]. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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public _ZN1cC1lEii 


_27М1СС1Е11 ргос пеаг 

аго_0 = дмога ptr 8 

аго_4 = dword ptr 0Сһ 

arg_8 = dword ptr 10h 
push ebp 
mov ebp, esp 
mov eax, [ebp+arg_0] 
mov edx, [ebp+arg_4] 
mov [eax], edx 
mov eax, [ebp+arg_0] 
mov edx, [ebp+arg_8] 
mov [eax+4], edx 
pop ebp 
retn 

_ZN1cC1lEii endp 


Это функция, аналог которой мог бы выглядеть так: 


void 2М№1сС1Е11 (int жоБј, int а, int b) 


{ 
xobj=a; 
*(06]+1)=6; 

$; 


...что, в общем, предсказуемо. 


И функция dump(): 


public _ZN1c4dumpEv 


_ZN1c4dumpEv proc near 
var_18 = dword ptr -18h 
маг 14 = dword ptr -14h 
var_10 = dword ptr -10h 
arg 0 = dword ptr 8 
push ebp 
mov ebp, esp 
sub esp, 18h 
mov eax, [ebp+arg_0] 
mov edx, [eax+4] 
mov eax, [ebp+arg_0] 
mov eax, [eax] 
mov [esp+18h+var_10], edx 
mov [esp+18h+var_14], eax 
mov [esp+18h+var_18], offset арр ; "%а; %d\n" 
call _printf 
leave 
retn 


_ZN1c4dumpEv endp 
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Эта функция во внутреннем представлении имеет один аргумент, через кото- 
рый передается указатель на объект?8 (this). 


Это можно переписать на Си: 


void ZN1c4dumpEv (int жорј) 


{ 
printf ("%d; %d\n", xobj, ж(06]+1)); 
}; 


Таким образом, если брать в учет только эти простые примеры, разница между 
MSVC и ССС в способе кодирования имен функций (пате mangling) и передаче 
указателя на экземпляр класса (через ЕСХ или через первый аргумент). 


ССС: х86-64 


Первые 6 аргументов, как мы уже знаем, передаются через 6 регистров RDI, 
RSI, RDX, RCX, R8 и R9 ([Michael Matz, Jan Нибіска, Andreas Jaeger, Mark Mitchell, 
System V Application Binary Interface. AMD64 Architecture Processor Supplement, 
(2013)] 23), а указатель Ha this через первый (RDI) что мы здесь и видим. Тип 
int 32-битный и здесь. Хак с JMP вместо ВЕТ используется и здесь. 


Листинг 3.88: ССС 4.4.6 x64 


; конструктор по умолчанию 


_ZN1cC2Ev: 
mov DWORD PTR [rdi], 667 
mov DWORD PTR [rdi+4], 999 
ret 


; c(int a, int b) 


_ZN1cC2Eii: 
mov DWORD PTR [rdi], esi 
mov DWORD PTR [rdi+4], edx 
ret 


; dump() 


_ZN1c4dumpEv: 
mov edx, DWORD PTR [rdi+4] 
mov esi, DWORD PTR [rdi] 
xor eax, eax 
mov edi, OFFSET FLAT:.LCO ; "%d; %а\п" 
jmp printf 


28экземпляр класса 
29Также доступно здесь: https://software.intel.com/sites/default/files/article/402129/ 
mpx- 11пихб4-арі.рат 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Наследование классов 


О наследованных классах можно сказать, что это та же простая структура, 
которую мы уже рассмотрели, только расширяемая в наследуемых классах. 


Возьмем очень простой пример 


#include <stdio.h> 


class object 


{ 
public: 
int color; 
object() { }; 
object (int color) { this->color=color; }; 
void print_color() { printf ("color=%d\n", color); }; 
}; 
class box : public object 
{ 
private: 
int width, height, depth; 
public: 
box(int color, int width, int height, int depth) 
{ 
this->color=color; 
this->width=width; 
this->height=height; 
this->depth=depth; 
}; 
void dump() 
{ 
printf ("this is а box. color=%d, width=%d, height=%d, depth=%d/⁄ 
„ \п", color, width, height, depth); 
}; 
class sphere : public object 
{ 
private: 
int radius; 
public: 
sphere(int color, int radius) 
{ 
this->color=color; 
this->radius=radius; 
}; 
void dump() 
{ 
printf ("this is sphere. color=%d, radius=%d\n", color, radius); 
}; 
}; 
int main() 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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{ 
рох 6(1, 10, 20, 30); 
ѕрһеге $(2, 40); 
b.print_color(); 
s.print_color(); 
b.dump(); 
s.dump(); 
return 0; 

$; 


Исследуя сгенерированный код для функций/методов дитр (), а также 
објесї::ргіпї соТог(), посмотрим, какая будет разметка памяти для структур- 
объектов (для 32-битного кода). 


Итак, методы dump () разных классов сгенерированные М5\/С 2008 с опциями 
/0х и /06030. 


Листинг 3.89: Оптимизирующий MSVC 2008 /ОБО 


?? C@ О9ССЕРОГРА@со10ог?$0М? ФСРа?6?$ААа DB 'со1ог=%а', бан, ӨӨН ; `string' 
?print_color@object@@QAEXXZ PROC ; object::print color, COMDAT 
; this$ = ecx 

mov eax, DWORD PTR [ecx] 

push eax 


; 'color=%d', дан, 00Н 
push OFFSET ?? C@ O9GCEDOLPAGcolor?$DN?$CFd?6?7$AAQ@ 
call printf 
add еѕр, 8 
ret 0 
?print_color@object@@QAEXXZ ENDP ; object::print color 


Листинг 3.90: Оптимизирующий MSVC 2008 /ОБО 


?dump@box@@QAEXXZ PROC ; box::dump, COMDAT 
; 1015$ = ecx 

mov eax, DWORD PTR [ecx+12] 

mov edx, DWORD PTR [ecx+8] 

push eax 

mov eax, DWORD PTR [ecx+4] 

mov ecx, DWORD PTR [ecx] 

push edx 

push eax 

push ecx 


'this 15 а box. color=%d, width=%d, height=%d, depth=%d', бан, ӨӨН ; `string 
push OFFSET ?? Са ODGENCNGAADLG@this?5is?5b0ox?4?5color?$DN?$CFd?0?5width/ 
S ?$DN?$CFd?0@ 


3бопция /0b0 означает отмену inline expansion, ведь вставка компилятором тела функции/метода 
прямо в код где он вызывается, может затруднить наши эксперименты. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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call _рг1пїї 
add esp, 20 
ret 0 


?dump@box@@QAEXXZ ENDP ; бох: :dump 


Листинг 3.91: Оптимизирующий MSVC 2008 /ОБО 


?dump@sphere@@QAEXXZ PROC ; sphere::dump, COMDAT 


, 


, 


this$ = ecx 

mov eax, DWORD PTR [ecx+4] 
mov ecx, DWORD PTR [ecx] 
push eax 

push ecx 


'this is sphere. color=%d, radius=%d', бан, 00H 
push OFFSET ?? Са OCF@EFEDJLDC@this?5is?5sphere?4?5color?$DN?$CFd?0?5/7 
4 radius@ 
call printf 
add еѕр, 12 
геї 0 


?dump@sphere@@QAEXXZ ЕМОР ; sphere: : Читр 


Итак, разметка полей получается следующая: 


(базовый класс object) 


смещение | описание 
+0х0 int color 


(унаследованные классы) 


Бох: 
смещение | описание 
+0х0 int color 
+0x4 int width 
+0x8 int height 
+0xC int depth 
sphere: 
смещение | описание 
+0х0 int color 
+0x4 int radius 


Посмотрим Teno main(): 


Листинг 3.92: Оптимизирующий MSVC 2008 /ОБО 


PUBLIC _main 


TEXT SEGMENT 
5$ = -24 ; size = 8 


b$ = -16 ; size = 16 
main PROC 

sub esp, 24 

push 30 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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push 20 

push 10 

push 1 

lea ecx, DWORD PTR 6$ [еѕр+40] 

call ??0Бох@@дАЕ@НННН@й ; box: : рох 

push 40 

push 2 

lea ecx, DWORD PTR _s$[esp+32] 

call ??0sphere@@QAE@HH@Z ; sphere: : ѕрһеге 

lea ecx, DWORD PTR _b$[esp+24] 

call ?print_color@object@@QAEXXZ ; object::print color 
lea ecx, DWORD PTR _s$[esp+24] 

call ?print_color@object@@QAEXXZ ; object::print color 
lea ecx, DWORD PTR _b$[esp+24] 

call ?dump@box@@QAEXXZ ; бох: : Читр 

lea ecx, DWORD PTR _s$[esp+24] 

call ?dump@sphere@@QAEXXZ ; sphere: :dump 

xor eax, eax 


add esp, 24 
ret 0 
_main ENDP 


Наследованные классы всегда должны добавлять свои поля после полей базо- 
вого класса для того, чтобы методы базового класса могли продолжать рабо- 
тать со своими собственными полями. 


Когда метод об] ес{: :ргіпї со1ог() вызывается, ему в качестве this переда- 
ется указатель и на объект типа box и на объект типа sphere, так как он может 
легко работать с классами бох и sphere, потому что поле color в этих классах 
всегда стоит по тому же адресу (по смещению 0x0). 


Можно также сказать, что методу об] ес{: :рг1п{ со1ог() даже не нужно знать, 
с каким классом он работает, до тех пор, пока будет соблюдаться условие за- 
крепления полей по тем же адресам, а это условие соблюдается всегда. 


А если вы создадите класс-наследник класса рох, например, то компилятор 
будет добавлять новые поля уже за полем depth, оставляя уже имеющиеся 
поля класса Бох по тем же адресам. 


Так, метод бох: :аитр() будет нормально работать обращаясь к полям color, 
width, height и depth, всегда находящимся по известным адресам. 


Код на ССС практически точно такой же, за исключением способа передачи 
this (он, как уже было указано, передается в первом аргументе, вместо pern- 
стра ЕСХ). 


Инкапсуляция 


Инкапсуляция — это сокрытие данных в private секциях класса, например, что- 
бы разрешить доступ к ним только для методов этого класса, но не более. 


Однако, маркируется ли как-нибудь в коде тот сам факт, что некоторое поле 
— приватное, а некоторое другое — нет? 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Нет, никак не маркируется. 


Попробуем простой пример: 


#include <stdio.h> 


class box 
{ 
private: 
int color, width, height, depth; 
public: 
box(int color, int width, int height, int depth) 
{ 
this->color=color; 
this->width=width; 
this->height=height; 
this->depth=depth; 
}; 


void dump() 
{ 


printf ("this is а box. color=%d, width=%d, height=%d, depth=%d/ 
„ \п", color, width, height, depth); 
}; 
$; 


Снова скомпилируем в MSVC 2008 с опциями /0х и /0b0 и посмотрим код мето- 
да бох: : Читр(): 


?dump@box@@QAEXXZ PROC ; box::dump, COMDAT 
; 1015$ = ecx 
mov eax, DWORD PTR [есх+12] 
mov edx, DWORD PTR [ecx+8] 
push eax 
mov eax, DWORD PTR [ecx+4] 
mov ecx, DWORD PTR [ecx] 
push edx 
push eax 
push ecx 
; 'this is а box. color=%d, width=%d, height=%d, depth=%d', бан, Өөн 
push OFFSET ?? Са ODGENCNGAADLG@this?5is?5b0ox?4?5color?$DN?$CFd?0?5width/ 
$ ?$DN?$CFd?0@ 
call printf 
add еѕр, 20 
ret 0 
?dump@box@@QAEXXZ ENDP ; бох: : Читр 


Разметка полей в классе выходит такой: 


смещение | описание 
+0х0 int color 
+0x4 int width 
+0x8 int height 
+0xC int depth 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Все поля приватные и недоступные для модификации из других функций, но, 
зная эту разметку, сможем ли мы создать код модифицирующий эти поля? 


Для этого добавим функцию һасК оор епсарѕи1а+іоп(), которая если облада- 
ет приведенным ниже телом, то просто не скомпилируется: 


void һаск оор епсарѕи1а+іоп(с1аѕ5ѕ box ж о) 
{ 
о->міаёһ=1; // этот код не может быть скомпилирован: 
// "error C2248: 'box::width' : cannot access private member 
declared in class 'box'" 


Тем не менее, если преобразовать тип box к типу указатель на массив int, и 
если модифицировать полученный массив їпЁ-ов, тогда всё получится. 


void һаск оор епсарѕи1а+іоп(с1аѕ5ѕ box ж о) 

{ 
unsigned int жрїг їо објесї=геіпїегргеї саѕї<ипѕідпеа іпїж> (о); 
рег о објесї[1]=123; 

}; 


Код этой функции довольно прост — можно сказать, функция берет на вход 
указатель на массив тЁ-ов и записывает 123 во второй int: 


?hack_oop_encapsulation@@YAXPAVbox@@@Z PROC ; hack оор encapsulation 
mov eax, DWORD PTR _o$[esp-4] 
mov DWORD PTR [eax+4], 123 
ret 0 

?hack_oop_encapsulation@@YAXPAVbox@@@Z ENDP ; hack oop encapsulation 


Проверим, как это работает: 


int та1п() 

{ 
рох b(1, 10, 20, 30); 
b.dump(); 


һаск оор _encapsulation(&b); 


b.dump(); 

return 0; 
}; 
Запускаем: 


this is а box. со1ог=1, width=10, height=20, деріһ=30 
this is a box. color=1, width=123, height=20, depth=30 


Выходит, инкапсуляция — это защита полей класса только на стадии компи- 
ляции. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Компилятор ЯП Си++не позволяет сгенерировать код прямо модифицирую- 
щий защищенные поля, тем не менее, используя грязные трюки — это вполне 
возможно. 


Множественное наследование 


Множественное наследование — это создание класса наследующего поля и 
методы от двух или более классов. 


Снова напишем простой пример: 


#include <stdio.h> 


class box 
{ 
public: 
int width, height, depth; 
box() { }; 
box(int width, int height, int depth) 
{ 
this->width=width; 
this->height=height; 
this->depth=depth; 
}; 
void дитр() 
{ 


printf ("this is а бох. width=%d, height=%d, depth=%d\n", міа+һ 
S , height, depth); 


int get_volume() 


{ 
return width ж height ж depth; 
}; 
}; 
class solid_object 
{ 
public: 
int density; 
solid_object() { }; 
solid_object(int density) 
{ 
this->density=density; 
}; 
int деї аепѕі+у() 
{ 
return density; 
}; 
void dump() 
{ 
printf ("this is a solid_object. density=%d\n", density); 
}; 
}; 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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class $50114 бох: box, $01149 оБ] ес 


{ 
public: 
solid_box (int width, int height, int depth, int density) 
{ 
this->width=width; 
this->height=height; 
this->depth=depth; 
this->density=density; 
$; 
void dump() 
{ 
printf ("this is а solid_box. width=%d, height=%d, depth=%d, и 
4 density=%d\n", width, height, depth, density); 
$; 
int get_weight() { return деф уо\ите() ж деф деп$1%у(); }; 
$; 
int main() 
{ 
box b(10, 20, 30); 
solid_object so(100); 
solid_box sb(10, 20, 30, 3); 
b.dump(); 
so.dump(); 
sb.dump(); 
printf ("%d\n", sb.get_weight()); 
return 0; 
$; 


Снова скомпилируем в MSVC 2008 с опциями /0х и /0b0 и посмотрим код мето- 
дов бох: : аитр(), 
$0114 орјесї: : аитр() и 50114 рох: : дитр(): 


Листинг 3.93: Оптимизирующий М$\УС 2008 /ОБО 


?dump@box@@QAEXXZ PROC ; бох: : йаитр, COMDAT 
; 1115$ = ecx 
mov eax, DWORD РТВ [есх+8] 
mov edx, DWORD PTR [ecx+4] 
push eax 
mov eax, DWORD PTR [ecx] 
push edx 
push eax 
; 'this 15 a box. width=%d, height=%d, depth=%d', бан, ӨӨН 
push OFFSET ?? Са OCM@DIKPHDFI@this?5is?5box?4?5width?$DN?$CFd?0?5/7 
< height? $DN?$CFd@ 
call printf 
add esp, 16 
ret 0 
?dump@box@@QAEXXZ ENDP ; бох: : Читр 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Листинг 3.94: Оптимизирующий MSVC 2008 /ОБО 


?dump@solid_object@@QAEXXZ PROC ; solid object::dump, COMDAT 
; this$ = ecx 
mov eax, DWORD PTR [ecx] 
push eax 
; 'this 15 а solid object. density=%d', бан 
push OFFSET ?? Са OCC@EKICFJINL@this?5is?5solid_object?4?5density?$DN? / 


S $CFd@ 

call printf 
add esp, 8 
ret 0 


?dump@solid_object@@QAEXXZ ЕМОР ; solid object: :dump 


Листинг 3.95: Оптимизирующий М$\УС 2008 /ОБО 


?dump@solid_ box@@QAEXXZ PROC ; solid box::dump, COMDAT 
; this$ = ecx 
mov eax, DWORD PTR [ecx+12] 
mov edx, DWORD PTR [ecx+8] 
push eax 
mov eax, DWORD PTR [ecx+4] 
mov ecx, DWORD PTR [ecx] 
push edx 
push eax 
push ecx 
; 'this 15 а solid_box. width=%d, height=%d, depth=%d, density=%d', бан 
push OFFSET ?? Са ODOGHNCNIHNNGthis?5is?5solid_box?4?5width?$DN?$CFd/ 
S ?0?5һе1@ 
call printf 
add еѕр, 20 
ret 0 
?dump@solid box@@QAEXXZ ENDP ; solid box: :dump 


Выходит, имеем такую разметку в памяти для всех трех классов: 


класс box: 
смещение | описание 
+0х0 width 
+0x4 height 
+0x8 depth 


класс solid_object: 


смещение | описание 
+0х0 density 


Можно сказать, что разметка класса solid_box объединённая: 


Класс solid рох: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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смещение | описание 
+0х0 width 
+0x4 height 
+0x8 depth 
+0xC density 


Код методов box::get_volume() и 50114 орбјесі: :деї депѕіїу() тривиален: 


Листинг 3.96: Оптимизирующий MSVC 2008 /ОБО 


?get_volume@box@@QAEHXZ PROC ; бох: :деї volume, COMDAT 
; this$ = ecx 

mov eax, DWORD PTR [ecx+8] 

imul eax, DWORD PTR [ecx+4] 

imul eax, DWORD PTR [ecx] 

ret 0 
?get_volume@box@@QAEHXZ ENDP ; box::get volume 


Листинг 3.97: Оптимизирующий MSVC 2008 /ОБО 


?get_density@solid object@@QAEHXZ PROC ; solid object::get density, COMDAT 
; this$ = ecx 

mov eax, DWORD PTR [ecx] 

ret 0 
?деї density@solid_ object@@QAEHXZ ENDP ; solid object::get density 


А вот код метода solid box::get_weight() куда интереснее: 


Листинг 3.98: Оптимизирующий MSVC 2008 /ОБО 


?деї weight@solid_box@@QAEHXZ PROC ; solid бох: :деї weight, COMDAT 
; this$ = ecx 

push esi 

mov esi, ecx 

push edi 

lea ecx, DWORD PTR [esi+12] 

call ?деї _density@solid_object@@QAEHXZ ; solid object::get density 

mov есх, esi 

mov edi, eax 

call ?get_volume@box@@QAEHXZ ; box::get volume 

imul eax, edi 


pop edi 
pop еѕі 
ret 0 


?деї weight@solid_ box@@QAEHXZ ENDP ; solid box::get weight 


get_weight() просто вызывает два метода, но для деф volume() он передает 
просто указатель на this, а для деф Чеп$1Ту(), он передает указатель на this 
сдвинутый на 12 байт (либо 0хС байт), а там, в разметке класса $0114_Бох, как 
раз начинаются поля класса $0114 оБ]ес*. 


Так, метод 50114 објесї: :деї аепѕіїу() будет полагать что работает с обыч- 
ным классом 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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solid об]есф, а метод бох: : деф уо1ите() будет работать только со своими 
тремя полями, полагая, что работает с обычным экземпляром класса Бох. 


Таким образом, можно сказать, что экземпляр класса-наследника нескольких 
классов представляет в памяти просто объединённый класс, содержащий все 
унаследованные поля. А каждый унаследованный метод вызывается с переда- 
чей ему указателя на соответствующую часть структуры. 


Виртуальные методы 


И снова простой пример: 


#include <stdio.h> 


class object 


{ 
public: 
int color; 
object() { }; 
object (int color) { this->color=color; }; 
virtual void dump() 
{ 
printf ("color=%d\n", color); 
}; 
}; 
class бох : public object 
{ 
private: 
int width, height, depth; 
public: 
box(int color, int width, int height, int depth) 
{ 
this->color=color; 
this->width=width; 
this->height=height; 
this->depth=depth; 
}; 
void дитр() 
{ 
printf ("this is а box. color=%d, width=%d, һеідһі=%а, дерїһ=%а,2 
„ \п", color, width, height, depth); 
}; 
}; 
class sphere : public object 
{ 
private: 
int radius; 
public: 
sphere(int color, int radius) 
{ 


this->color=color; 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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this->radius=radius; 
on dump () 
i printf ("this is sphere. color=%d, radius=%d\n", color, гааіиѕ) 2 
i 


int main() 


box b(1, 10, 20, 30); 
sphere s(2, 40); 


object *о1=&ф; 
object жо2=&5; 


ol->dump(); 

02->аитр(); 

return 0; 
$; 


У класса object есть виртуальный метод дитр(), впоследствии заменяемый в 
классах-наследниках box и sphere. 


Если в какой-то среде, где неизвестно, какого типа является экземпляр класса, 
как в функции main() в примере, вызывается виртуальный метод йитр(), rge- 
то должна сохраняться информация о том, какой же метод в итоге вызвать. 


Скомпилируем в MSVC 2008 с опциями /0х и /060 и посмотрим код функции 
main(): 


_$$ = -32 ; size = 12 
_b$ = -20 ; size = 20 
_main PROC 


lea ecx, DWORD PTR _b$[esp+48] 
call ??0Бох@@дАЕ@НННН@й ; box: : рох 
push 40 

push 2 

lea ecx, DWORD PTR _s$[esp+40] 
call ??0sphere@@QAE@HH@Z ; sphere: : ѕрһеге 
mov eax, DWORD PTR _b$[esp+32] 
mov edx, DWORD PTR [eax] 

lea ecx, DWORD PTR _b$[esp+32] 
call edx 

mov eax, DWORD РТВ _s$[esp+32] 
mov edx, DWORD PTR [eax] 

lea ecx, DWORD PTR _s$[esp+32] 
call edx 
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хог еах, еах 
add esp, 32 
ret 0 

_main ENDP 


Указатель на функцию dump () берется откуда-то из экземпляра класса (объек- 
та). Где мог записаться туда адрес нового метода-функции? Только в конструк- 
торах, больше негде: ведь в функции та1п() ничего более не вызывается. 

31 


Посмотрим код конструктора класса box: 


??_В0?А\/Бох@@@8 DD FLAT:?? 7+уре info@@6B@ ; бох `ВТТТ Туре реѕсгіріог' 
рр 00H 
DB '.?АМБох@@', ӨӨН 


??_В1А@?0АСЕА@Бох@@8 DD FLAT:?? R0O?AVbox@@@8 ; box::`RTTI Base Class 
Descriptor at (0,-1,0,64)' 


DD 01Н 

рр оон 

рр OffffffffH 
DD оон 

рр 040H 


DD FLAT:??_R3box@@8 


?? R2box@@8 DD РЕАТ: ??_В1А@?ОАСЕА@Бох@@8 ; box::`RTTI Base Class Array' 
DD FLAT:?? R1A@?0OAG@EAQobject@@8 


?? R3box@@8 DD OOH ; box::`RTTI Class Hierarchy Descriptor' 
DD OOH 
DD 02H 
DD FLAT:?? R2box@@8 


?? R4box@@6B@ DD OOH ; box::`RTTI Complete Object Locator' 
DD вон 
00 00H 
DD FLAT:?? R0?AVbox@@@8 
DD FLAT:?? R3box@@8 


?? 7box@@6B@ DD FLAT:?? R4box@@6B@ ; box::`vftable' 
DD FLAT : ?dump@box@@UAEXXZ 


_color$ = 8 ; size = 
_width$ 12 ; size = 
_height$ = 16 ; size = 
_depth$ = 20 ; size = 
??0box@@QAE@QHHHHEZ PROC ; box::box, COMDAT 
; this$ = ecx 

push esi 

mov esi, ecx 

call ??Qobject@@QAE@XZ ; object::object 

mov eax, DWORD РТВ _color$[esp] 


AAAA 


3106 указателях на функции читайте больше в соответствующем разделе:(1.33 (стр. 492)) 
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mov ecx, DWORD РТВ міаїһ% [еѕр] 
mov edx, DWORD РТВ _height$[esp] 
mov DWORD PTR [esi+4], eax 
mov eax, DWORD PTR _depth$[esp] 
mov DWORD PTR [esi+16], eax 
mov DWORD PTR [esi], OFFSET ?? 7box@@6B@ 
mov DWORD PTR [esi+8], ecx 
mov DWORD PTR [esi+12], edx 
mov еах, esi 
pop еѕі 
ret 16 

??0box@@QQAEG@HHHHG@Z ENDP ; бох: : бох 


Здесь мы видим, что разметка класса немного другая: в качестве первого no- 
ля имеется указатель на некую таблицу box::`vftable' (название оставлено 
компилятором М$\С). 


В этой таблице есть ссылка на таблицу с названием 
Бох::`АТТТ Complete Object Іосаїог' и еще ссылка на метод рох: : Читр (). 


Итак, это называется таблица виртуальных методов и ВТП??. Таблица вирту- 
альных методов хранит в себе адреса методов, а ВТТ! хранит информацию о 
типах вообще. 


Кстати, ВТТІ-таблицы — это именно те таблицы, информация из которых NC- 
пользуются при вызове дулатіс саѕї и {уре! в Си++. Вы можете увидеть, что 
здесь хранится даже имя класса в виде обычной строки. 


Так, какой-нибудь метод базового класса object может вызвать виртуальный 
метод об] ест: : їитр() что в итоге вызовет нужный метод унаследованного 
класса, потому что информация о нем присутствует прямо в этой структуре 
класса. 


Работа с этими таблицами и поиск адреса нужного метода, занимает какое-то 
время процессора, возможно, поэтому считается что работа с виртуальными 
методами медленна. 


В сгенерированном коде от ССС ВТТ!-таблицы устроены чуть-чуть иначе. 


3.19.2. ostream 


Начнем снова с примера типа «hello world», на этот раз используя ostream: 


#include <iostream> 


int main() 


{ 
} 


std::cout << "Hello, world!\n"; 


Из практически любого учебника Си++, известно, что операцию << можно опре- 
делить (или перегрузить — overload) для других типов. 


32Вип-Тите Туре Information 
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Что и делается в ostream. Видно, что в реальности вызывается орегаїог<< для 
ostream: 


Листинг 3.99: MSVC 2012 (reduced listing) 


$5637112 DB 'Hello, world!', бан, Өөн 


_main PROC 
push OFFSET $5637112 
push OFFSET ?cout@std@@3V?$basic_ostream@DU?$char traits@D@std@@@l@A ; 


std::cout 

call ??$?76U?$char_traits@D@std@@@AstdECYAAAV?$basic_ostream@DU? / 
S $char_traits@D@std@CCOGAAV10@PBDEZ ; 

std: :operator<<<std::char_traits<char> > 


add еѕр, 8 
хог еах, еах 
геї 0 

_таіп ЕМОР 


Немного переделаем пример: 


#include <iostream> 


int main() 
{ 

std::cout << "Hello, " << "world!\n"; 
} 


И снова, из многих учебников по Си++, известно, что результат каждого operator<< 
в о5їгеат передается в следующий. 


Действительно: 


Листинг 3.100: MSVC 2012 


$5637112 ОВ 'мог1а!', бан, оон 
$5637113 DB 'Не110, ', ӨӨН 


_таіп PROC 
push OFFSET $5637113 ; 'Не110, ' 
push OFFSET ?cout@std@@3V?$basic_ostream@DU?$char_traits@D@stdee@lEA ; 


std::cout 

call ??$?76U?$char_traits@D@std@@@AstdECYAAAV?$basic_ostream@DU? 2 
S $char_traits@D@std@CCOGAAV10@PBDEZ ; 

std: :operator<<<std::char_ traits<char> > 

add esp, 8 


push OFFSET $5637112 ; 'мог1а!' 

push eax ; результат работы предыдущей ф-ции 

call ??$?60?$сһаг_їга1ї<@р@<5та@@@<5+а@@аүААА\У?$ра<51с_о5%геат@ру? / 
S $char_traits@D@std@@COGAAV10@PBDEZ ; 

std: :operator<<<std::char_ traits<char> > 

add еѕр, 8 


хог еах, еах 
ret 0 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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_таіп ЕМОР 


Если переименовать название метода орегаїог<< в Т(), то этот код выглядел 
бы так: 


Ғ(#(51а: : сои, "Hello, "), "мог1а!"); 


ССС генерирует практически такой же код как и MSVC. 


3.19.3. References 


References в Си++это тоже указатели (3.21 (стр. 763)), но их называют без- 
опасными (safe), потому что работая с ними, труднее сделать ошибку (С++11 
8.3.2). Например, reference всегда должен указывать объект того же типа и не 
может быть NULL [Marshall Cline, С++ РАО8.6]. 


Более того, reference нельзя менять, нельзя его заставить указывать на другой 
объект (геѕеаї) [Marshall Cline, С++ ЕАО8.5]. 


Если мы попробуем изменить пример с указателями (3.21 (стр. 763)) чтобы он 
использовал reference вместо указателей ... 


void 12 (int х, int у, int & sum, int & product) 
{ 

$ит=х+у; 

ргоаисї=хжу; 
}; 


...то выяснится, что скомпилированный код абсолютно такой же как и в Npn- 
мере с указателями (3.21 (стр. 763)): 


Листинг 3.101: Оптимизирующий MSVC 2010 


_х$ = 8 ; 51те = 4 

_у$ = 12 ; 5176 = 4 

_$ит$ = 16 ; 51е = 4 

_ргойисї$ = 20 ; 517е = 4 

?Е2@@уАХННААНО@7 PROC Т2 
mov ecx, DWORD PTR у$[еѕр-4] 
mov eax, DWORD PTR _x$[esp-4] 
lea edx, DWORD PTR [eax+ecx] 


imul eax, ecx 
mov ecx, DWORD PTR _product$[esp-4] 


push esi 
mov esi, DWORD PTR _sum$[esp] 
mov DWORD PTR [esi], edx 
mov DWORD PTR [ecx], eax 
pop esi 
ret 0 
?12@@"АХННААНО@7 ЕМОР ; -f2 


(Почему у функций в Си++такие странные имена, описано здесь: 3.19.1 (стр. 690).) 
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Следовательно, геѓегепсеѕ в С++ эффективны настолько, насколько и обычные 
указатели. 


3.19.4. STL 


N.B.: все примеры здесь были проверены только в 32-битной среде. хб4-версии 
не были проверены. 


std::string 


Как устроена структура 


Многие строковые библиотеки [Денис Юричев, Заметки о языке программиро- 
вания Си/Си++2.2] обеспечивают структуру содержащую ссылку на буфер соб- 
ственно со строкой, переменную всегда содержащую длину строки (что очень 
удобно для массы функций [Денис Юричев, Заметки о языке программирова- 
ния Си/Си++2.2.1]) и переменную содержащую текущий размер буфера. 


Строка в буфере обыкновенно оканчивается нулем: это для того чтобы указа- 
тель на буфер можно было передавать в функции требующие на вход обычную 
сишную А5СІ14-строку. 


Стандарт Си++не описывает, как именно нужно реализовывать std::string, но, 
как правило, они реализованы как описано выше, с небольшими дополнения- 
ми. 


Строки в Си++это не класс (как, например, QString в Qt), а темплейт (баѕіс ѕїгіпо), 
это сделано для того чтобы поддерживать строки содержащие разного типа 
символы: как минимум Char и wchar t. 


Так что, std::string это класс с базовым типом Char. 


А std::wstring это класс с базовым типом и/сраг t. 
МУС 


В реализации М5\С, вместо ссылки на буфер может содержаться сам буфер 
(если строка короче 16-и символов). 


Это означает, что каждая короткая строка будет занимать в памяти по край- 
ней мере 16 +4 +4 = 24 байт для 32-битной среды либо 16 + 8 +8 = 32 байта 
в 64-битной, а если строка длиннее 16-и символов, то прибавьте еще длину 
самой строки. 


Листинг 3.102: пример для MSVC 


#include <string> 
#include <stdio.h> 


struct std_string 


{ 


union 
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{ 
char buf[16]; 
char* ptr; 
} u; 
size t size; // AKA 'Mysize' B MSVC 
size_t capacity; // АКА 'Myres' в MSVC 
}; 
void dump_std_string(std::string s) 
{ 
struct std_string *p=(struct std_string*)&s; 
printf ("[%s] size:%d capacity:%d\n", p->size>16 ? p->u.ptr : p->u.buf, 2 
$ p->size, p->capacity); 
$; 
int main() 
{ 
std::string sl="a short string"; 
std::string s2="a string longer than 16 bytes"; 
dump_std_string(s1); 
dump_std_string(s2); 
// это работает без использования c str() 
printf ("%5\п", &51); 
printf ("%s\n", 52); 
$; 


Собственно, из этого исходника почти всё ясно. 
Несколько замечаний: 


Если строка короче 16-и символов, то отдельный буфер для строки в куче вы- 
деляться не будет. 


Это удобно потому что на практике, основная часть строк действительно ко- 
роткие. Вероятно, разработчики в Microsoft выбрали размер в 16 символов как 
разумный баланс. 


Теперь очень важный момент в конце функции таіп(): мы не пользуемся мето- 
дом с 5г(), тем не менее, если это скомпилировать и запустить, то обе строки 
появятся в консоли! 


Работает это вот почему. 


В первом случае строка короче 16-и символов и в начале объекта std::string 
(его можно рассматривать просто как структуру) расположен буфер с этой 
строкой. ргіпї# () трактует указатель как указатель на массив символов окан- 
чивающийся нулем и поэтому всё работает. 


Вывод второй строки (длиннее 16-и символов) даже еще опаснее: это вооб- 
ще типичная программистская ошибка (или опечатка), забыть дописать с_5їг(). 
Это работает потому что в это время в начале структуры расположен указа- 
тель на буфер. Это может надолго остаться незамеченным: до тех пока там 
не появится строка короче 16-и символов, тогда процесс упадет. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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GCC 


В реализации GCC в структуре есть еще одна переменная — reference count. 


Интересно, что указатель на экземпляр класса std::string в ССС указывает не на 
начало самой структуры, а на указатель на буфера. В libstdc++-v3\include\bits\basic_string.h 
мы можем прочитать что это сделано для удобства отладки: 


Тһе reason уои want M data pointing to {Пе character %аггау and 
not the Rep is so that the debugger can see the string 
contents. (Probably we should add a non-inline member to get 
the Rep for the debugger to use, so users can check the actual 
string length.) 


хх ххх 


исходный код basic_string.h 
В нашем примере мы учитываем это: 


Листинг 3.103: пример для ССС 


#include <string> 
#include <stdio.h> 
struct std_string 
{ 
size t length; 
size t capacity; 
size t refcount; 
$; 
void Читр 519 $%г1пд ($4: :ѕ1гіпд $) 
{ 
char жр1=*(сһагжж)&5; // обход проверки типов ССС 
struct std_string ж*р2=(51гисї 51а 5%г1пдж) (р1-5іғео#(ѕ1гисї 51а ѕігіпд) / 
>); 
printf ("[%5] size:%d сарасіїу:%\п", pl, р2->1епдеН, p2->capacity); 
$; 
int main() 
{ 
std::string sl="a short string"; 
std::string 52="а string longer than 16 bytes"; 
dump_std_string(s1); 
dump _std_string(s2); 
// обход проверки типов GCC: 
printf ("%5\п", ж(сһагжж) &51); 
printf ("%5\п", ж(сһагжж) &52); 
$; 


Нужны еще небольшие хаки чтобы сымитировать типичную ошибку, которую 
мы уже видели выше, из-за более ужесточенной проверки типов в ССС, тем не 
менее, рип {() работает и здесь без с_5їг(). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Чуть более сложный пример 


#include <string> 
#include <stdio.h> 


int main() 

{ 
std::string sl="Hello, "; 
std::string s2="world!\n"; 
std::string s3=s1+s2; 


printf ("%s\n", s3.c_str()); 


Листинг 3.104: MSVC 2012 


$5639512 рв 'Hello, ', ӨӨН 
$5639514 ОВ 'мог1а!', бан, Өөн 
$5639581 ОВ '%5', бан, 00Н 


252$ = -72 ; size = 24 
253$ = -48 ; size = 24 
251$ = -24 ; size = 24 
_таіп PROC 

sub esp, 72 

push 7 


push OFFSET $5639512 

lea ecx, DWORD PTR _$51$[е5р+80] 

mov DWORD РТА 51$ [еѕр+100], 15 

том DWORD РТВ _$1$[е5р+96], 0 

mov BYTE РТВ _51$[е5р+80], 0 

call ?assign@?$basic_string@DU?$char &гаі+їѕ0реѕіа@о\? 7 

> $allocator@D@2@@std@@QAEAAV12@PBDI@Z ; 

std: :basic_string<char,std::char_traits<char>,std::allocator<char> >::а551 


push 7 

push OFFSET $5639514 

lea ecx, DWORD PTR s2$[esp+80] 

mov DWORD PTR _s2$[esp+100], 15 

mov DWORD PTR _s2$[esp+96], 0 

mov BYTE РТВ _52$[е5р+80], 0 

call ?assign@?$basic_string@DU?$char_ traits@D@stde@aV? 7 

ъ $allocator@D@2@@std@@QAEAAV12@PBDI@Z ; 

std: :basic_string<char,std::char_traits<char>,std::allocator<char> >::а551 


lea eax, DWORD PTR s2$[esp+72] 

push eax 

lea eax, DWORD PTR _$1$[е5р+76] 

push eax 

lea eax, DWORD PTR s3$[esp+80] 

push eax 

call ??$?НОО?$сһаг_їга1ї5@р@514@@\/?$а1 1 осатога@ра1@@<+а@аҮүА?А\? / 

 $раѕіс ѕ1гіпод@ру? $сНаг_%га1+$@0@5+4@@\/?$а\1Лосафог@0@2@@0@АВ\/10@0@7 ; 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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std: : орегафог+<сПаг, $14: : сһаг +гаіїѕ<сһаг>, $4: :а\1осаїтог<сһаг> > 


; вставленный код метода (inlined) с str(): 
стр DWORD РТВ 53$ [еѕ5р+104], 16 

lea eax, DWORD РТА _$53$[е5р+84] 

cmovae eax, DWORD PTR s3$[esp+84] 


push eax 

push OFFSET $5639581 
call printf 

add esp, 20 


cmp DWORD PTR _s3$[esp+92], 16 
jb SHORT $LN119@main 
push DWORD PTR _s3$[esp+72] 


call ??3@YAXPAX@Z ; operator delete 
add еѕр, 4 
$LN119@main: 


cmp DWORD PTR _s2$[esp+92], 16 
mov DWORD РТА _$3$[е5р+92], 15 
mov DWORD РТВ _$3$[е5р+88], 0 
mov BYTE PTR s3$[esp+72], 0 
jb SHORT $LN151@main 

push DWORD РТВ _s2$[esp+72] 


call ??3@YAXPAX@Z ; operator delete 
add еѕр, 4 
$LN151@main: 


cmp DWORD PTR _51$[е5р+92], 16 
mov DWORD PTR _s2$[esp+92], 15 
mov DWORD PTR _$2$[е5р+88], 0 
mov BYTE PTR _s2$[esp+72], © 
jb SHORT $LN195@main 

push DWORD PTR _s1$[esp+72] 


call ??3@YAXPAX@Z ; operator delete 
add еѕр, 4 
$LN195@main: 
хог eax, eax 
add esp, 72 
ret 0 
_main ENDP 


Собственно, компилятор не конструирует строки статически: да в общем-то и 
как это возможно, если буфер с ней нужно хранить в куче? 


Вместо этого в сегменте данных хранятся обычные А$СИ7-строки, а позже, во 
время выполнения, при помощи метода «assign», конструируются строки 51 и 
52 . При помощи орегаїог+, создается строка $3. 


Обратите внимание на то что вызов метода с_5їг() отсутствует, потому что его 
код достаточно короткий и компилятор вставил его прямо здесь: если строка 
короче 16-и байт, то в регистре ЕАХ остается указатель на буфер, а если длин- 
нее, то из этого же места достается адрес на буфер расположенный в куче. 


Далее следуют вызовы трех деструкторов, причем, они вызываются только ес- 
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ли строка длиннее 16-и байт: тогда нужно освободить буфера в куче. В про- 
тивном случае, так как все три объекта std::string хранятся в стеке, они осво- 
бождаются автоматически после выхода из функции. 


Следовательно, работа с короткими строками более быстрая из-за меньшего 
обращения к куче. 


Код на ССС даже проще (из-за того, что в ССС, как мы уже видели, не реали- 
зована возможность хранить короткую строку прямо в структуре): 


Листинг 3.105: ССС 4.8.1 


. ЕСО: 

.string "Hello, " 
.LC1: 

„string "world!\n" 
main: 

push ebp 

mov ebp, esp 

push edi 

push esi 

push ebx 

and esp, -16 

sub esp, 32 


lea ebx, [esp+28] 

lea edi, [esp+20] 

mov DWORD PTR [esp+8], ebx 

lea esi, [esp+24] 

mov DWORD PTR [esp+4], OFFSET FLAT: . СӨ 
mov DWORD PTR [esp], edi 


call 2М№55С1ЕРКСАКЅаІсЕ 


mov DWORD PTR [esp+8], ebx 

mov DWORD PTR [esp+4], OFFSET FLAT:.LC1 
mov DWORD PTR [esp], esi 

call _ZNSsC1EPKcRKSaIcE 


mov DWORD PTR [esp+4], edi 
mov DWORD PTR [esp], ebx 


call _ZNSsC1ERKSs 


mov DWORD PTR [esp+4], esi 
mov DWORD PTR [esp], ebx 


call _ZNSs6appendERKSs 

; вставленный код метода (inlined) c str(): 
mov eax, DWORD РТВ [еѕр+28] 

mov DWORD PTR [esp], eax 


call puts 
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mov eax, DWORD РТВ [еѕр+28] 

lea ebx, [esp+19] 

mov DWORD PTR [esp+4], ebx 

sub eax, 12 

mov DWORD PTR [esp], eax 

call _ZNSs4 Rep10 M disposeERKSaIcE 
mov eax, DWORD PTR [esp+24] 

mov DWORD PTR [esp+4], ebx 

sub eax, 12 

mov DWORD PTR [esp], eax 

call _ZNSs4 Rep10 M disposeERKSaIcE 
mov eax, DWORD РТВ [esp+20] 

mov DWORD PTR [esp+4], ebx 

sub eax, 12 

mov DWORD PTR [esp], eax 

call _ZNSs4 Rep10 M disposeERKSaIcE 
lea esp, [ерр-12] 

xor eax, eax 


pop ebx 
pop еѕі 
pop edi 
pop ebp 
ret 


Можно заметить, что в деструкторы передается не указатель на объект, a ука- 
затель на место за 12 байт (или 3 слова) перед ним, то есть, на настоящее 
начало структуры. 


std::string как глобальная переменная 
Опытные программисты на Си++знают, что глобальные переменные 5Т122-типов 


вполне можно объявлять. 


Да, действительно: 


#include <stdio.h> 
#include <string> 


std::string s="a string"; 


int main() 


{ 
}; 


printf ("%5\п", s.c_str()); 


Но как и где будет вызываться конструктор std::string? 


На самом деле, эта переменная будет инициализирована даже перед началом 
паіп(). 


33 (Си++) Standard Template Library 
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Листинг 3.106: MSVC 2012: здесь конструируется глобальная переменная, а 
также регистрируется её деструктор 


77 Е5@@УАХХ7 PROC 
ри5һ 8 
push OFFSET $5639512 ; 'a string' 
mov ecx, OFFSET ?s@@3V?$basic_string@DU?$char _traits@D@std@@V? 2 
S $allocator@D@2@@std@@A ; 


tall ?аѕѕідп@?$раѕіс ѕ1гіпод@ру? $сһаг +гаі+їѕ0р@ѕіа@о\? 7 
4 $allocator@D@2@@std@@QAEAAV12@PBDI@Z ; 
std: :basic_string<char,std::char_traits<char>,std::allocator<char> >::а551 
push OFFSET ?? __Fs@@YAXXZ ; `dynamic atexit destructor for 's'' 
call _atexit 
pop ecx 
ret 0 
??__Е<$@@ҮАХХ7 ЕМОР 


Листинг 3.107: MSVC 2012: здесь глобальная переменная используется в 
паіп() 


$5639512 ОВ 'а string', ӨӨН 
$5639519 ОВ '%5', бан, ӨӨН 


_таіп PROC 
стр DWORD РТВ ?s@@3V?$basic_string@DU?$char_traits@D@std@@V? / 
> $allocator@D@2@@std@@A+20, 16 
mov eax, OFFSET ?$@@3\/?$Ба$1с_$5+г1пд9@ру?$спаг_+га1{5@0@5+а@@\? / 
ъ $allocator@D@2@@std@@A ; 


Спомае eax, DWORD РТА ?s@@3V?$basic_string@DU?$char_traits@D@std@@V? 2 
S $allocator@D@2@@std@@A 
push eax 
push OFFSET $5639519 ; '%5' 
call printf 
add еѕр, 8 
xor eax, eax 
ret 0 
_main ENDP 


Листинг 3.108: MSVC 2012: эта функция-деструктор вызывается перед выхо- 
дом 


7? Е500ҮАХХ2 PROC 
push ecx 
cmp DWORD PTR ?s@@3V?$basic_string@DU?$char_traits@D@std@@V? 7 
ъ $allocator@D@2@@std@@A+20, 16 
jb SHORT $LN23@dynamic 
push esi 
mov esi, DWORD PTR ?s@@3V?$basic_string@DU?$char_traits@D@std@@V? / 
> $allocator@D@2@@std@@A 
lea ecx, DWORD PTR $T2[esp+8] 
call ??0?% Wrap_alloc@V?$allocator@D@std@@@std@@QAE@XZ 
push OFFSET ?s@@3V?$basic_string@DU?$char_traits@D@std@@V? / 
S $allocator@D@2@@std@@A ; 
5 
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lea ecx, DWORD РТВ $Т2[е5р+12] 
call ??$destroy@PAD@?$ Wrap _alloc@V?$allocator@D@std@@@std@@QAEXPAPADEZ 
lea ecx, DWORD PTR $T1[esp+8] 
call ??0?% Wrap_alloc@V?$allocator@D@std@@@std@@QAE@XZ 
push esi 
call ??3@YAXPAX@Z ; operator delete 
add еѕр, 4 
рор еѕі 
$LN23@dynamic: 
mov DWORD PTR ?s@@3V?$basic_string@DU?$char_traits@D@std@@V? 2 
S $allocator@D@2@@std@@A+20, 15 
mov DWORD РТВ ?s@@3V?$basic_string@DU?$char_traits@D@std@@V? / 
> $allocator@D@2@@std@@A+16, 0 
mov BYTE PTR ?s@@3V?$basic_string@DU?$char_traits@D@std@@V? / 
$ $allocator@D@2@@std@@A, 0 
pop ecx 
ret 0 
77 Fs@@YAXXZ ЕМОР 


В реальности, из CRT, еще до вызова таіп(), вызывается специальная функция, 
в которой перечислены все конструкторы подобных переменных. Более того: 
при помощи аїехії() регистрируется функция, которая будет вызвана в конце 
работы программы: в этой функции компилятор собирает вызовы деструкто- 
ров всех подобных глобальных переменных 


ССС работает похожим образом: 


Листинг 3.109: ССС 4.8.1 


main: 
push ebp 
mov ebp, esp 
and esp, -16 
sub esp, 16 
mov eax, DWORD PTR s 
mov DWORD PTR [esp], eax 
call puts 
xor eax, eax 
leave 
ret 
.LCO: 
.String "a string" 
GLOBAL sub І 5: 
sub esp, 44 
lea eax, [esp+31] 
mov DWORD PTR [esp+8], eax 
mov DWORD PTR [esp+4], OFFSET FLAT: .LCO 
mov DWORD PTR [esp], OFFSET FLAT:s 
call _ZNSsC1EPKcRKSaIcE 
mov DWORD PTR [esp+8], OFFSET FLAT: dso _ handle 
mov DWORD PTR [esp+4], OFFSET FLAT:s 
mov DWORD PTR [esp], OFFSET FLAT: _7№5$01Е\ 
call _cxa_atexit 
add esp, 44 
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геї 
. LFE645: 
.Size GLOBAL sub I s, .- GLOBAL sub I s 
.section .init_array, "aw" 
„align 4 
.long GLOBAL sub I 5 
.globl s 
‚055 
‚а11дп 4 
‚Туре s, @оБ]ес* 
.Size 5, 4 
5: 
.zero 4 


.hidden _ ѕо Пап Фе 


Но он не выделяет отдельной функции в которой будут собраны деструкторы: 
каждый деструктор передается в atexit() по одному. 


std::list 


Хорошо известный всем двусвязный список: каждый элемент имеет два указа- 
теля, на следующий и на предыдущий элементы. 


Это означает, что расход памяти увеличивается на 2 слова на каждый элемент 
(8 байт в 32-битной среде или 16 байт в 64-битной). 


STL в Си+ +просто добавляет указатели «next» и «previous» к той вашей струк- 
туре, которую вы желаете объединить в список. 


Попробуем разобраться с примером в котором простая структура из двух пе- 
ременных, мы объединим её в список. 


Хотя и стандарт Си++не указывает, как он должен быть реализован, реализа- 
ции MSVC и ССС простые и похожи друг на друга, так что этот исходный код 
для обоих: 


#include <stdio.h> 
#include <list> 
#include <iostream> 


struct a 

{ 
int x; 
int y; 

}; 

struct 1151 поде 

{ 
struct 1151 подеж Мех; 
struct 1151 подеж _Ргем; 
int х; 
int у; 

}; 
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void dump 1151 поае (struct 1151 поде жп) 


printf ("рїг=0х%р _Мехф=0х%р _Ргеу=0х%р х=%а y=%d\n", 
п, п-> №хе, п-> Ргеу, п->х, п->у); 


}; 
void dump 1151 ма15 (struct 1151 подех п) 
{ 
struct 1151 подеж current=n; 
for (;;) 
{ 
ацтр 115+ пое (current); 
сиггеп{=сиггеп{-> Next; 
if (сиггеп==п) // епа 
ргеак; 
}; 
}; 


void аитр 1151 ма1 (unsigned int жа) 


{ 
#ifdef М5С МЕК 
// в реализации GCC нет поля "size" 
printf (" Муһеаа=0х%р, _Му$17е=%а\п", а[0], а[1]); 
#епаі? 
Читр 1151 ма15 ((struct 115% поде*ж)а[9]); 
}; 


int main() 


{ 


std::list<struct a> l; 


printf ("ж empty list:\n"); 
dump List_val((unsigned int*)(void*)&l); 


struct a 11; 
t1.x=1; 

t1.y=2; 
l.push_front (t1); 
t1.x=3; 

11.у=4; 
l.push_front (11); 
1ї1.х=5; 

11.у=6; 

1.риѕһ Баск (+1); 


printf ("ж 3-е1етепїѕ 1151:\п"); 
dump 1151 ма1 ((ипѕідпеа іпїж) (моіаж)&1); 


std::list<struct а>::іїегаїог tmp; 

printf ("node at .begin:\n"); 

tmp=l.begin(); 

dump List_node ((struct List_node *)*(void**)&tmp); 
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printf ("node at .епа:\п"); 
tmp=l.end(); 
dump_List_node ((struct List_node *)»(void»x*)&tmp); 


printf ("ж let's count from the beginning:\n"); 
std::list<struct a>::iterator it=l.begin(); 
printf ("151 element: %d %d\n", (жії).х, (жії).у); 


it++; 
printf ("2nd element: %d %d\n", (жії).х, (жії).у); 
it++; 
printf ("3rd element: %d %d\n", (жії).х, (жії).у); 
it++; 


printf ("element at .епа(): %d %d\n", (жії).х, (жії).у); 


printf ("ж let's count from the end:\n"); 
std::list<struct a>::iterator it2=l.end(); 
printf ("element at .епа(): %d %d\n", (*112).х, (*112).у); 


112--; 
printf ("3rd element: %4 %а\п", (ж112).х, (*112).у); 
112—-; 
printf ("2nd element: %d %а\п", (ж112).х, (жі12).у); 
112—-; 


printf ("151 element: %4 %d\n", (*112).х, (*112).у); 


printf ("removing last е1етеп+. . .\п"); 
1. рор Баск(); 
dump 1151 ма1 ((ипѕідпеа іпіж) (моіаж)&1); 


GCC 


Начнем с GCC. 


При запуске увидим длинный вывод, будем разбирать его по частям. 


ж empty list: 
ptr=0x0028fe90 Next=0x0028fe90 Prev=0x0028fe90 x=3 y=0 


Видим пустой список. Не смотря на то что он пуст, имеется один элемент C 
мусором (АКА узел-пустышка (dummy поае)) в переменных хи у. 


Оба указателя «next» и «prev» указывают на себя: 
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list.begin() м list.end() 


Это тот момент, когда итераторы .begin n .end равны друг другу. 


Вставим 3 элемента и список в памяти будет представлен так: 


ж 3-elements list: 

ptr=0x000349a0 Next=0x00034988 Prev=0x0028fe90 x= 
ptr=0x00034988 Next=0x00034b40 _Ргеу=0х000349а0 x= 
ptr=0x00034b40 Next=0x0028fe90 _Ргеу=0х00034988 x= 
ptr=0x0028fe90 Next=0x000349a0 _Ргеу=0х00034640 x= 


Последний элемент всё еще Ha 0x0028fe90, он не будет передвинут куда-либо 
до самого уничтожения списка. 


Он все еще содержит случайный мусор в полях х и у (5 и 6). Случайно совпало 
так, что эти значения точно такие же, как и в последнем элементе, но это не 
значит, что они имеют какое-то значение. 


Вот как эти 3 элемента хранятся в памяти: 


Переменная 
std::list 


list.end() 
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Переменная І всегда указывает на первый элемент. 


Итераторы .Бедт() и .епа() это не переменные, а функции, возвращающие ука- 
затели на соответствующие узлы. 


Иметь элемент-пустышку (dummy node или sentinel node) это очень популярная 
практика в реализации двусвязных списков. 


Без него, многие операции были бы сложнее, и, следовательно, медленнее. 


Итератор на самом деле это просто указатель на элемент. list.begin() и list.end() 
просто возвращают указатели. 


node at .begin: 

ptr=0x000349a0 Next=0x00034988 Prev=0x0028fe90 x=3 y=4 
node at .end: 

ptr=0x0028fe90 Next=0x000349a0 _Ргеу=0х00034640 х=5 y=6 


Тот факт, что последний элемент имеет указатель на первый и первый имеет 
указатель на последний, напоминает нам циркулярный список. 


Это очень помогает: если иметь указатель только на первый элемент, т.е. тот 
что в переменной l, очень легко получить указатель на последний элемент, 
без необходимости обходить все элементы списка. Вставка элемента в конец 
списка также быстра благодаря этой особенности. 


орегаї+ог- - и орегаїог++ просто выставляют текущее значение итератора на 
сиггеп{ поде->ргеу или сиггепї пойе->пехї. 


Обратные итераторы (.гредіп, .гепа) работают точно так же, только наоборот. 


орегафог* на итераторе просто возвращает указатель на место в структуре, 
где начинается пользовательская структура, т.е. указатель на самый первый 
элемент структуры (т). 


Вставка в список и удаление очень просты: просто выделите новый элемент 
(или освободите) и исправьте все указатели так, чтобы они были верны. 


Вот почему итератор может стать недействительным после удаления элемен- 
та: он может всё еще указывать на уже освобожденный элемент. 


Это также называется dangling pointer. И конечно же, информация из освобож- 
денного элемента, на который указывает итератор, не может использоваться 
более. 


В реализации ССС (по крайней мере 4.8.1) не сохраняется текущая длина спис- 
ка: это выливается в медленный метод .size(): он должен пройти по всему спис- 
ку считая элементы, просто потому что нет другого способа получить эту ин- 
формацию. Это означает, что эта операция O(n), т.е. она работает тем медлен- 
нее, чем больше элементов в списке. 


Листинг 3.110: Оптимизирующий ССС 4.8.1 -fno-inline-small-functions 


паіп ргос пеаг 
push ebp 
mov ebp, esp 
push esi 
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push ерх 

апа esp, OFFFFFFFOh 

sub esp, 20h 

lea ebx, [esp+10h] 

mov dword ptr [esp], offset s ; "* empty list:" 
mov [esp+10h], ebx 

mov [esp+14h], ebx 

call puts 

mov [esp], ebx 

call Z13dump_List_valPj ; dump List val(uint *) 
lea esi, [esp+18h] 

mov [esp+4], esi 

mov [esp], ebx 

mov dword ptr [esp+18h], 1 ; X нового элемента 
mov dword ptr [esp+1Ch], 2 ; Y нового элемента 
call _7№544115%11а5а150 EEl@0push_frontERKSO_ ; 
std: :list<a,std::allocator<a>>::push_front(a const&) 
mov [esp+4], esi 

mov [esp], ebx 

mov dword ptr [esp+18h], 3 ; X нового элемента 
mov dword ptr [esp+1Ch], 4 ; Y нового элемента 
call _ZNSt4listIlaSaIS® EEl@0push_frontERKSO_ ; 
std: :list<a,std::allocator<a>>::push_front(a const&) 
mov dword ptr [esp], 10h 

mov dword ptr [esp+18h], 5 ; X нового элемента 
mov dword ptr [esp+1Ch], 6 ; Y нового элемента 
call _Znwj ; operator new(uint) 

cmp eax, OFFFFFFF8h 

jz short loc 80002A6 

mov ecx, [esp+1Ch] 

mov edx, [esp+18h] 

mov [eax+0Ch], ecx 

mov [eax+8], edx 


loc 80002А6: ; CODE XREF: main+86 
mov [esp+4], ebx 
mov [esp], eax 
call _ZNSt8 _Чефа1115 List_node base7 M hookEPSO ; 
std::_ detail:: 1151 пое base:: M hook(std::_ detail::_ List_node base*) 
mov dword ptr [esp], offset a3ElementsList ; "* 3-elements list:" 
call puts 
mov [esp], ebx 
call _Z13dump_List_valPj ; dump List val(uint *) 
mov dword ptr [esp], offset aNodeAt_begin ; "node at .begin:" 
call puts 
mov eax, [esp+10h] 
mov [esp], eax 
call _Z1l4dump_List_nodeP9List_node ; dump List _ node(List_ node *) 
mov dword ptr [esp], offset aNodeAt_end ; “node at .end:" 
call puts 
mov [esp], ebx 
call _Z1l4dump_List_nodeP9List_node ; dump List поде( 151 node *) 
mov dword ptr [esp], offset aLetSCountFromT ; "* let's count from the 
beginning: " 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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call puts 

mov esi, [esp+10h] 

mov eax, [esi+0Ch] 

mov [esp+0Ch], eax 

mov eax, [esi+8] 

mov dword ptr [еѕр+4], offset alstElementDD ; "15% element: %d %d\n" 
mov dword ptr [esp], 1 

mov [esp+8], eax 

call _printf_chk 

mov еѕі, [esi] ; operator++: деф ->next pointer 

mov eax, [esi+0Ch] 

mov [esp+0Ch], eax 

mov eax, [esi+8] 

mov dword ptr [esp+4], offset a2ndElementDD ; "2nd element: %d %d\n" 
mov dword ptr [esp], 1 

mov [esp+8], eax 

call _ printf_chk 

mov еѕі, [esi] ; operator++: get ->next pointer 

mov eax, [esi+0Ch] 

mov [esp+0Ch], eax 

mov eax, [esi+8] 

mov dword ptr [esp+4], offset a3rdElementDD ; "3rd element: %d %d\n" 
mov dword ptr [esp], 1 

mov [esp+8], eax 

call _printf_chk 

mov eax, [esi] ; operator++: get ->next pointer 

mov edx, [eax+0Ch] 

mov [esp+0Ch], edx 

mov eax, [eax+8] 

mov dword ptr [esp+4], offset aElementAt_endD ; 


"element at .end(): %d %d\n" 
mov dword ptr [esp], 1 


mov [esp+8], eax 
call _ printf_chk 


mov dword ptr [esp], offset aLetSCountFro © ; "* let's count from the 
end: " 
call puts 


mov eax, [esp+1Ch] 

mov dword ptr [esp+4], offset aElementAt_endD ; 
"element at .end(): %d %d\n" 

mov dword ptr [esp], 1 


mov [esp+0Ch], eax 

mov eax, [esp+18h] 

mov [esp+8], eax 

call _printf_chk 

mov esi, [esp+14h] 

mov eax, [esi+0Ch] 

mov [esp+0Ch], eax 

mov eax, [esi+8] 

mov dword ptr [esp+4], offset a3rdElementDD ; "3rd element: %d %d\n" 
mov dword ptr [esp], 1 

mov [esp+8], eax 

call _ printf_chk 

mov esi, [esi+4] ; operator--: get ->prev pointer 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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mov eax, [esi+0Ch] 
mov [esp+0Ch], eax 
mov eax, [esi+8] 


mov dword ptr [esp+4], offset a2ndElementDD ; "2nd element: %d %d\n" 


mov dword ptr [esp], 1 

mov [esp+8], eax 

call _ printf_chk 

mov eax, [е51+4] ; operator--: get ->prev pointer 
mov edx, [eax+0Ch] 

mov [esp+0Ch], edx 

mov eax, [eax+8] 


mov dword ptr [esp+4], offset alstElementDD ; "15% element: %d %d\n" 


mov dword ptr [esp], 1 
mov [esp+8], eax 
call _ printf_chk 


mov мога ptr [esp], offset aRemovingLastEl ; "removing last element..." 


call puts 
mov esi, [esp+14h] 
mov [esp], esi 
call ZNSt8 _4ефа1115 List_node base9 М unhookEv ; 
std:: detail:: List node base:: M unhook (void) 
mov [esp], esi ; void * 
call _zdlPv ; operator delete(void *) 
mov [esp], ebx 
call Z13dump List_valPj ; dump List val(uint *) 
mov [esp], ebx 
call _ZNSt10 1151 Базе!1аба150 EE8 М clearEv ; 
ѕ1а:: List_base<a,std::allocator<a>>:: М clear(void) 
lea esp, [ebp-8] 
xor eax, eax 
pop ebx 
pop еѕі 
pop ebp 
retn 
main endp 


Листинг 3.111: Весь вывод 


ж empty list: 


ptr=0x0028fe90 Next=0x0028fe90 Prev=0x0028fe90 x=3 y=0 
* 3-elements list: 

ptr=0x000349a0 Next=0x00034988 Prev=0x0028fe90 x=3 y=4 
ptr=0x00034988 Next=0x00034b40 _Ргеу=0х000349а0 x=1 y=2 
ptr=0x00034b40 Next=0x0028fe90 _Ргеу=0х00034988 x=5 y=6 
ptr=0x0028fe90 Next=0x000349a0 _Ргеу=0х00034640 х=5 y=6 
node at .begin: 

ptr=0x000349a0 Next=0x00034988 Prev=0x0028fe90 x=3 y=4 
node at .end: 

ptr=0x0028fe90 Next=0x000349a0 _Ргеу=0х00034640 х=5 y=6 


ж let's count from the beginning: 
151 element: 3 4 

2nd element: 1 2 

3rd element: 5 6 

element at .end(): 56 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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ж let's count from the епа: 

element at .end(): 5 6 

3rd element: 5 6 

2nd element: 1 2 

151 element: З 4 

removing last element... 

ptr=0x000349a0 Next=0x00034988 Prev=0x0028fe90 x= 
ptr=0x00034988 Next=0x0028fe90 _Ргеу=0х000349а0 x= 
ptr=0x0028fe90 Next=0x000349a0 _Ргеу=0х00034988 x= 


лҥ w 
<<< 
нии 
ONA 


MSVC 


Реализация MSVC (2012) точно такая же, только еще и сохраняет текущий раз- 
мер списка. Это означает, что метод .size() очень быстр (0(1)): просто прочи- 
тать одно значение из памяти. С другой стороны, переменная хранящая раз- 
мер должна корректироваться при каждой вставке/удалении. 


Реализация М5\/С также немного отлична в смысле расстановки элементов: 


Переменная 
std::list 


list.end() list.begin() 


в 


Х=2-й эле- 


М 


Ү=2-й эле- 
мент2па 
élément 


У GCC ero элемент-пустышка в самом конце списка, а у MSVC в самом начале. 


Листинг 3.112: Оптимизирующий MSVC 2012 /Ра2.азт /65- /Ob1 


_1$ = -16 ; size = 8 
_t1$ = -8 ; size = 8 
_main PROC 

sub esp, 16 

push ebx 

push esi 

push edi 

push 0 

push 0 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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lea ecx, DWORD PTR 1$ [еѕр+36] 

mov DWORD РТА _l$[esp+40], 0 

; выделить первый мусорный элемент 

call ?_Виуподе0@?$ 1151 а\\0с@$0А@И?$ 1151 Базе +уреѕ@Џа@(@\? / 
„ $а11осатог@йа@а@< +Чеаа5+аеаа-+а@@дАЕРАЦ? 2 

$; $ 1151 поде@Ца@@РАХ@2@РАЦЗ2@0@7 ; 

51а: : 1151 а\10ос<0, $14: : 1151 Базе їуреѕ<а, 51а: :а\Л1осаїог<а> > >:: Виупойе 
mov еді, DWORD PTR _ ітр printf 

mov ebx, eax 

push OFFSET $5640685 ; '* empty 1151: ' 

mov DWORD PTR _l$[esp+32], ebx 

call edi ; printf 

lea eax, DWORD PTR _l$[esp+32] 

push eax 

call ?dump List_val@@YAXPAI@Z ; dump List val 

mov esi, DWORD РТА [ebx] 

add esp, 8 

lea eax, DWORD PTR ti$[esp+28] 

push eax 

push DWORD PTR [esi+4] 

lea ecx, DWORD PTR _l$[esp+36] 

push esi 

mov DWORD PTR 11$[е5р+40], 1 ; данные для нового узла 
mov DWORD РТА 11$[е5р+44], 2 ; данные для нового узла 
; allocate new node 

call ??$_Buynode@ABUa@@@?$ 1151 риу@0а@@\? / 

<; $allocator@Ua@@as ае@@5+а@@дАЕРАИ? 2 

$; $ 1151 поде@Ца@@РАХ@1@рРАУ? 1@0АВЦа@@@7 ; 

51а: : 1151 риу<а, $44: :аЛосафог<а> >:: Виупойе<а const &> 
mov DWORD РТВ [е51+4], eax 

mov ecx, DWORD PTR [eax+4] 

mov DWORD PTR 11$[е5р+28], З ; данные для нового узла 
mov DWORD PTR [ecx], eax 

mov esi, DWORD PTR [ebx] 

lea eax, DWORD PTR ti$[esp+28] 

push eax 

push DWORD PTR [esi+4] 

lea ecx, DWORD PTR _l$[esp+36] 

push esi 

mov DWORD РТА 11$[е5р+44], 4 ; данные для нового узла 
; allocate new node 

call ??$ Виуподе@АВУа@@@?$ 1151 риу@0а@@\? / 

4 $allocator@Uac@as +аааа5+а@@0АЕРАЦ? 2 

$; $ 1151 поде@Ца@@РАХ@1@рРАУ? 1@0АВЦа@@@7 ; 

std:: 1151 риу<а, $44: :аЛосафог<а> >:: Виупойе<а const &> 
mov DWORD РТВ [е$1+4], eax 

mov ecx, DWORD PTR [eax+4] 

mov DWORD PTR 11$[е5р+28], 5 ; данные для нового узла 
mov DWORD PTR [ecx], eax 

lea eax, DWORD PTR ti$[esp+28] 

push eax 

push DWORD PTR [ebx+4] 

lea ecx, DWORD PTR _l$[esp+36] 

push ebx 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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mov DWORD РТА 11$[е5р+44], 6 ; данные для нового узла 

; allocate пем node 

call ??$ Виуподе@АВЦа@@@?$ List риу@Ца@@\? / 

„ $а11осатог@айа@@а@< +аааа5+а@@0АЕРАЦ? 2 

S $ 1151 поде@уа@@РАХ@1@РАИ? 1@0АВЦа@@@7 ; 

ѕ1а:: 1151 риу<а, $44: :аЛосафог<а> >:: Виупойе<а const &> 
mov DWORD РТВ [ерх+4], eax 

mov ecx, DWORD PTR [eax+4] 

push OFFSET $5640689 ; '* 3-elements list: ' 

mov DWORD PTR l$[esp+36], 3 

mov DWORD PTR [ecx], eax 

call edi ; printf 

lea eax, DWORD PTR _l$[esp+32] 

push eax 

call ?dump List_val@@YAXPAI@Z ; dump List val 

push OFFSET $5640831 ; 'node at .begin:' 

call edi ; printf 

push DWORD PTR [ebx] ; взять поле следующего узла, на который указывает 
са ?Читр 1151 поде@@уАХРАЦЕ15* поае@@@7 ; dump List поде 
push OFFSET $5640835 ; 'node at .епа: ' 

call edi ; printf 

push ebx ; pointer to the node l variable points to! 

call ?dump List_node@@YAXPAUList_node@@@Z ; dump 1151 node 
push OFFSET $5640839 ; '* let''s count from the begin: ' 
call edi ; printf 

mov esi, DWORD PTR [ebx] ; operator++: get ->next pointer 
push DWORD PTR [esi+12] 

push DWORD PTR [esi+8] 

push OFFSET $5640846 ; '15% element: %d %d' 

call edi ; printf 

mov esi, DWORD PTR [esi] ; operator++: get ->next pointer 
push DWORD PTR [esi+12] 

push DWORD PTR [esi+8] 

push OFFSET $5640848 ; '2nd element: %d %d' 

call edi ; printf 

mov esi, DWORD PTR [esi] ; operator++: get ->next pointer 
push DWORD PTR [esi+12] 

push DWORD PTR [esi+8] 

push OFFSET $5640850 ; 'Зга element: %d %d' 

call edi ; printf 

mov eax, DWORD PTR [esi] ; operator++: get ->next pointer 
add esp, 64 

push DWORD PTR [eax+12] 

push DWORD PTR [eax+8] 

push OFFSET $5640852 ; 'element at .end(): %d %d' 

call edi ; printf 

push OFFSET $$640853 ; '* let''s count from the епа: ' 

call edi ; printf 

push DWORD PTR [ebx+12] ; использовать nona x и у того узла, на который 


указывает переменная l 
push DWORD РТВ [ерх+8 ] 


push OFFSET $5640860 ; 'element at .епа(): %а %а' 
call edi ; printf 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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тоу 
push 
push 
push 
call 
mov 

push 
push 
push 
call 
mov 

push 
push 
push 
call 
add 

push 
call 
mov 

add 


esi, DWORD PTR [ebx+4] ; operator--: get ->prev pointer 
DWORD PTR [esi+12] 

DWORD PTR [esi+8] 

OFFSET $5640862 ; 'Зга element: %d %d' 

edi ; printf 

esi, DWORD PTR [esi+4] ; operator--: get ->prev pointer 
DWORD PTR [esi+12] 

DWORD PTR [esi+8] 

OFFSET $5640864 ; '2nd element: %d %d' 

edi ; printf 

eax, DWORD PTR [esi+4] ; operator--: get ->prev pointer 
DWORD PTR [eax+12] 

DWORD PTR [eax+8] 

OFFSET $SG40866 ; '151 element: %d %d' 

edi ; printf 

esp, 64 

OFFSET $5640867 ; 'removing last element... ' 

edi ; printf 

edx, DWORD PTR [ebx+4] 

esp, 4 


; prev=next? 
; это единственный элемент, мусор? 
; если да, не удаляем его! 


стр едх, ерх 
је SHORT $LN349@main 
mov ecx, DWORD PTR [edx+4] 
mov eax, DWORD PTR [edx] 
mov DWORD PTR [ecx], eax 
mov ecx, DWORD PTR [edx] 
mov eax, DWORD PTR [edx+4] 
push edx 
mov DWORD PTR [ecx+4], eax 
call ??З@ҮАХРАХ@7 ; operator delete 
add еѕр, 4 
mov DWORD РТА 1$[еѕр+32], 2 
$1 МЗ49@таіп : 
lea eax, DWORD РТА 1$ [еѕр+28] 
push eax 
call ?dump List_val@@YAXPAI@Z ; dump List val 
mov eax, DWORD PTR [ebx] 
add еѕр, 4 
mov DWORD PTR [ebx], ebx 
mov DWORD PTR [ebx+4], ebx 
cmp eax, ebx 
je SHORT $LN412@main 
$LL414@main: 
mov esi, DWORD PTR [eax] 
push eax 
call ??З@ҮАХРАХ@7 ; operator delete 
add езр, 4 
тоу еах, еѕі 
стр еѕі, ебх 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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jne SHORT $11414@та1п 


$LN412@main: 
push ebx 
call ??З@ҮАХРАХ@7 ; operator delete 
add еѕр, 4 
xor eax, eax 
pop edi 
pop еѕі 
pop ebx 
add еѕр, 16 
ret 0 

_таіп ЕМОР 


В отличие от ССС, код MSVC выделяет элемент-пустышку в самом начале функ- 
ции при помощи функции «Виуподе», она также используется и во время Bbl- 
деления остальных элементов (код ССС выделяет самый первый элемент в 
локальном стеке). 


Листинг 3.113: Весь вывод 


ж empty list: 

_Myhead=0x003CC258, _Mysize=0 

ptr=0x003CC258 _Next=0x003CC258 _Prev=0x003CC258 x=6226002 y=4522072 
* 3-elements list: 

_Myhead=0x003CC258, _Mysize=3 

ptr=0x003CC258 Next=0x003CC288 Prev=0x003CC2A0 x=6226002 y=4522072 


ptr=0x003CC288 Next=0x003CC270 Ргеу=0х003СС258 x=3 y=4 
ptr=0x003CC270 Next=0x003CC2A0 _Ргеу=0х003СС288 x=1 y=2 
ptr=0x003CC2A0 Next=0x003CC258 _Ргеу=0х003СС270 x=5 y=6 


node at .begin: 

ptr=0x003CC288 Next=0x003CC270 _Ргеу=0х003СС258 x=3 y=4 

node at .end: 

ptr=0x003CC258 Next=0x003CC288 Prev=0x003CC2A0 x=6226002 y=4522072 
ж let's count from the beginning: 

151 element: 3 4 

2nd element: 1 2 

3rd element: 5 6 

element at .end(): 6226002 4522072 

* let's count from the end: 

element at .end(): 6226002 4522072 

3rd element: 5 6 

2nd element: 1 2 

151 element: 3 4 

removing last element... 

_Муһеаа=0х003СС258, _Mysize=2 

ptr=0x003CC258 Next=0x003CC288 Prev=0x003CC270 x=6226002 y=4522072 
ptr=0x003CC288 Next=0x003CC270 _Ргеу=0х003СС258 x=3 y=4 
ptr=0x003CC270 _Мехї=0х003СС258 Prev=0x003CC288 х=1 y=2 


C++11 std::forward_list 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Это то же самое что и std::list, но только односвязный список, т.е. имеющий 
только поле «next» в каждом элементе. Таким образом расход памяти меньше, 
но возможности идти по списку назад здесь нет. 


std::vector 


Мы бы назвали std: :vector «безопасной оболочкой» (wrapper) РОРТ?* массива 
в Си. 


Изнутри он очень похож на std: : string (3.19.4 (стр. 713)): он имеет указатель 
на выделенный буфер, указатель на конец массива и указатель на конец вы- 
деленного буфера. 


Элементы массива просто лежат в памяти впритык друг к другу, так же, как и 
в обычном массиве (1.26 (стр. 338)). В С++11 появился метод .аїа() возвра- 
щающий указатель на этот буфер, это похоже на .с 51г() в std::string. 


Выделенный буфер в куче может быть больше чем сам массив. 


Реализации MSVC и ССС почти одинаковые, отличаются только имена полей в 
структуре 35, так что здесь один исходник работающий для обоих компилято- 
ров. И снова здесь Си-подобный код для вывода структуры 5+: : уес®ог: 


#include <stdio.h> 
#include <vector> 
#include <algorithm> 
#include <functional> 


struct vector of_ints 


{ 
// MSVC names: 
int xMyfirst; 
int жМу1аѕ+; 
int жМуепа; 
// структура в GCC такая же, а имена там: 
М start, М finish, М епа о? $фогаде 
$; 
void dump(struct месфог о? іпіѕ жіп) 
{ 
printf (" Муғігѕ%=%р, Му\1аѕї=%р, Муепа=%р\п", іп->Му?ігѕї, іп->Му1аѕ+ 2 
S , іп->Муепа); 
size t size=(in->Mylast-in->Myfirst); 
size_t capacity=(in->Myend-in->Myfirst); 
printf ("size=%d, capacity=%d\n", size, capacity); 
for (size_t i=0; i<size; i++) 
printf ("element %d: %d\n", i, in->Myfirst[i]); 
}; 
int main() 


34(Си++) Plain Old Data Туре 
35внутренности ССС: http://gcc.gnu.org/onlinedocs/libstdc++/libstdc++-html-USERS-4.4/ 
а01371.һіті 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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514: : месіог<іпі> с; 

dump ((struct vector о? іпіѕж) (моіаж)&с); 

с.риѕћ баск(1); 

dump ((struct vector о? іпіѕж) (моіаж)&с); 

с.риѕһ баск(2); 

dump ((struct vector о? іпіѕж) (моіаж)&с); 

с.риѕһћ баск(3); 

dump ((struct vector о? іпіѕж) (моіаж)&с); 

с.риѕһ баск(4); 

dump ((struct vector о? іпіѕж) (моіаж)&с); 

с. гезегуе (6); 

dump ((struct vector о? іпіѕж) (моіаж)&с); 

с.риѕһ баск(5); 

dump ((struct vector о? іпіѕж) (моіаж)&с); 

c.push_back(6); 

dump ((struct vector of_ints*)(void*)&c); 

printf ("%d\n", c.at(5)); // с проверкой границ 

printf ("%а\п", с[8]); // орегафог[], без проверки границ 
$; 


Примерный вывод программы скомпилированной в М5\С: 


_Myfirst=00000000, Му1аѕ1=00000000, Муепа=00000000 
512е=0, сарасіїу=0 

_Myfirst=0051CF48, Му1аѕ+=0051СҒ4С, _Муепа=0051СЕ4С 
$17е=1, сарасіїу=1 

element 0: 1 

_Myfirst=0051CF58, Му1аѕ+=0051СЕ60, _Myend=0051CF60 
size=2, capacity=2 

element 0: 1 

element 1: 2 

_Myfirst=0051C278, Му1аѕ51=0051С284, _Муепа=0051С284 
size=3, capacity=3 

element 0: 1 

element 1: 2 

element 2: 3 

_Myfirst=0051C290, Му1аѕ1=0051С2А0, _Myend=0051C2A0 
size=4, capacity=4 

element 0: 1 

element 1: 2 

element 2: 3 

element 3: 4 

_Myfirst=0051B180, Му1аѕ51=00518190, _Myend=0051B198 
size=4, capacity=6 

element 0: 1 

element 1: 2 

element 2: 3 

element 3: 4 

_Myfirst=0051B180, Mylast=0051B194, _Myend=0051B198 
size=5, capacity=6 

element 0: 1 

element 1: 2 

element 2: 3 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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element 3: 4 

element 4: 5 

_Му#1г51=00518180, Му1аѕ51=00518198, Муепӣ=0051В8198 
5і7е=6, сарасіїу=6 

element 
element 
element 
element 
element 
element 
6 
6619158 


л Био мно 
ол Бошо мн 


Как можно заметить, выделенного буфера в самом начале функции та1п() по- 
ка нет. После первого вызова риѕћ баск() буфер выделяется. И далее, после 
каждого вызова риѕћ Баск() и длина массива и вместимость буфера (capacity) 
увеличиваются. Но адрес буфера также меняется, потому что вызов функции 
риѕћ Баск() перевыделяет буфер в куче каждый раз. Это дорогая операция, 
вот почему очень важно предсказать размер будущего массива и зарезервиро- 
вать место для него при помощи метода .гезегуе(). Самое последнее число 
— это мусор: там нет элементов массива в этом месте, вот откуда это случай- 
ное число. Это иллюстрация того факта что метод орегаїог[] в 514: : уесфог 
не проверяет индекс на правильность. Более медленный метод .а*() с другой 
стороны, проверяет, и подкидывает исключение $14: : оиї о? гапде в случае 
ошибки. 


Давайте посмотрим код: 


Листинг 3.114: MSVC 2012 /65- /Ob1 


$5652650 ОВ '%4', бан, ӨӨН 
d', 


$5652651 DB '% бан, оон 
_this$ = -4 ; size = 4 
__Роѕ5$ = 8 ; $12е = 4 


?7at@?$vector@HV?$allocator@H@std@@@std@@QAEAAHI@Z PROC ; 
std: :vector<int,std::allocator<int> >::at, COMDAT 
; this$ = ecx 
push ebp 
mov ebp, esp 
push ecx 
mov DWORD PTR this$[ebp], ecx 
mov eax, DWORD PTR _this$[ebp] 
mov ecx, DWORD PTR _this$[ebp] 
mov edx, DWORD PTR [eax+4] 
sub edx, DWORD PTR [ecx] 
sar едх, 2 
cmp edx, DWORD PTR __Роѕ%$[ерр] 
ja SHORT $LN1@at 
push OFFSET ?? Са оВвмеммјкррРРОо@іпма1 іа? 5месіог? $0МТ? $00?550Ь5сгірі? $ААа 
call DWORD РТВ imp ? Xout_of_range@std@@QYAXPBD@Z 
$LN1@at : 
mov eax, DWORD PTR _this$[ebp] 
mov ecx, DWORD PTR [eax] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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mov edx, DWORD РТВ _ Ро$$ [еб р] 
lea eax, DWORD РТВ [есх+еахж4] 


$LN3@at : 


mov esp, ebp 


pop ebp 
ret 4 


7at@?$vector@HV?$allocator@H@std@@@Astd@@QAEAAHI@Z ЕМОР ; 


_С$ 
$Т1 


std: : месіог<іпї, ѕїа: : а 1осаїог<іпі> >::at 


—36 ; 517е 2 
-24 ; size 
; size 
; size 
-12 ; size 
; size 
; size 


пио ЕІ 
І 
а 
© 


ЕЕЕ УЕ УЕЗ 


sub esp, 36 

mov DWORD PTR с$[ерр], 0 ; Myfirst 

mov DWORD PTR с$[ерр+4], 0 ; Mylast 

mov DWORD PTR cļ$[ebp+8], 0 ; Myend 

lea eax, DWORD PTR _с$[ебр] 

push eax 

call ?dumpę@YAXPAUvector of_ints@@@Z ; dump 

add езр, 4 

mov DWORD PTR $T6[ebp], 1 

lea ecx, DWORD PTR $T6[ebp] 

push ecx 

lea ecx, DWORD PTR _с$[ебр] 

call ?push_back@?$vector@HV?$allocator@H@stdeCaAstde@QAEX$$QAHEZ ; 
std: :vector<int,std::allocator<int> >::push back 
lea edx, DWORD PTR _с$[ебр] 

push edx 

call ?dump@@YAXPAUvector of_ints@@@Z ; dump 

add еѕр, 4 

mov DWORD PTR $T5[ebp], 2 

lea eax, DWORD PTR $T5[ebp] 

push eax 

lea ecx, DWORD PTR _с$[ебр] 

call ?push_back@?$vector@HV?$allocator@H@std@@@std@a@QAEX$$QAHOZ ; 
std: :vector<int,std::allocator<int> >::push back 
lea ecx, DWORD PTR _с$[ебр] 

push ecx 

call ?dump@@YAXPAUvector of_ints@@@Z ; dump 

add еѕр, 4 

mov DWORD РТА $Т4[ебр], 3 

lea edx, DWORD PTR $T4[ebp] 

push edx 

lea ecx, DWORD PTR _cļ$[ebp] 

call ?push_back@?$vector@HV?$allocator@H@std@@@std@a@QAEX$$QAHOZ ; 
std: :vector<int,std::allocator<int> >::push_back 
lea eax, DWORD PTR _с$[ебр] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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push 
call 
add 
mov 
lea 
push 
lea 
call 
std: 
lea 
push 
call 
add 
push 
lea 
call 


std: 
lea 


push 
call 
add 
mov 
lea 
push 
lea 
call 
std: 
lea 
push 
call 
add 
mov 
lea 
push 
lea 
call 
std: 
lea 
push 
call 
add 
push 
lea 
call 
std: 
mov 
push 
push 
call 
add 
mov 
shl 
mov 
mov 


eax 
?dump@@YAXPAUvector of_ints@@@Z ; dump 

esp, 4 

DWORD PTR $T3[ebp], 4 

ecx, DWORD PTR $T3[ebp] 

ecx 

ecx, DWORD PTR _с$[ебр] 
?push_back@?$vector@HV?$allocator@H@std@@@stdaa@QAEX$$QAH@Z ; 


:vector<int,std::allocator<int> >::push back 


edx, DWORD PTR _с$[ебр] 

edx 

?dump@@YAXPAUvector of_ints@@@Z ; dump 

esp, 4 

6 

ecx, DWORD PTR _с$[ебр] 
?reserve@?$vector@HV?$allocator@H@std@@@std@@QAEXI@Z ; 


:vector<int,std::allocator<int> >: : геѕегуе 


eax, DWORD РТВ _с$[ебр] 

еах 

?dump@@YAXPAUvector of_ints@@@Z ; dump 

esp, 4 

DWORD PTR $T2[ebp], 5 

ecx, DWORD PTR $T2[ebp] 

ecx 

ecx, DWORD РТА _с$[ебр] 
?push_back@?$vector@HV?$allocator@H@std@@@stdaaQAEX$$QAH@Z ; 


:vector<int,std::allocator<int> >::push back 


edx, DWORD PTR _с$[ебр] 

edx 

?dump@@YAXPAUvector of_ints@@@Z ; dump 

esp, 4 

DWORD PTR $T1[ebp], 6 

eax, DWORD PTR $Т1[ерр] 

eax 

ecx, DWORD PTR _c$[ebp] 
?push_back@?$vector@HV?$allocator@H@std@@@std@a@QAEX$$QAH@Z ; 


:vector<int,std::allocator<int> >::push back 


ecx, DWORD PTR _cļ$[ebp] 

ecx 

?dump@@YAXPAUvector of_ints@@@Z ; dump 

esp, 4 

5 

ecx, DWORD PTR _cļ$[ebp] 
?at@?$vector@HV?$allocator@H@std@@@std@@QAEAAHI@Z ; 


:vector<int,std::allocator<int> >::at 


edx, DWORD PTR [eax] 
edx 


OFFSET $5652650 ; '%d' 
DWORD РТА _imp_ printf 
esp, 8 

eax, 8 

eax, 2 


ecx, DWORD PTR _с$[ебр] 
edx, DWORD PTR [ecx+eax] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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риѕћ еах 

push OFFSET $5652651 ; '%d' 

call DWORD РТК _imp__printf 

add еѕр, 8 

lea ecx, DWORD PTR _с$[ебр] 

call ? Tidy@?$vector@HV?$allocator@H@std@@@std@@QIAEXXZ ; 
std: :vector<int,std::allocator<int> >:: Tidy 

xor eax, eax 

mov esp, ebp 


pop ebp 
ret 0 
_main ENDP 


Мы видим, как метод .аї() проверяет границы и подкидывает исключение в 
случае ошибки. Число, которое выводит последний вызов ргіпі? () берется из 
памяти, без всяких проверок. 


Читатель может спросить, почему бы не использовать переменные «size» и 
«capacity», как это сделано в std::string. Должно быть, это для более быстрой 
проверки границ. 


Код генерируемый ССС почти такой же, в целом, но метод .аї() вставлен npa- 
мо в код: 


Листинг 3.115: ССС 4.8.1 -fno-inline-small-functions -О1 


та1п ргос пеаг 
push ebp 
mov ebp, esp 
push edi 
push esi 
push ebx 
and esp, OFFFFFFFOh 
sub esp, 20h 
mov dword ptr [esp+14h], 0 
mov dword ptr [esp+18h], 0 
mov dword ptr [esp+1Ch], 0 
lea eax, [esp+14h] 
mov [esp], eax 
call _Z4dumpP1l14vector of_ints ; dump(vector of ints *) 
mov dword ptr [esp+10h], 1 
lea eax, [esp+10h] 
mov [esp+4], eax 
lea eax, [esp+14h] 
mov [esp], eax 
call _ZNSt6vectorIiSaIiEE9push_backERKi ; 
std: :vector<int,std::allocator<int>>::push back(int const&) 
lea eax, [esp+14h] 
mov [esp], eax 
call _Z4dumpP1l4vector of_ints ; dump(vector о? ints *) 
mov dword ptr [esp+10h], 2 
lea eax, [esp+10h] 
mov [esp+4], eax 
lea eax, [esp+14h] 
mov [esp], eax 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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call _ZNSt6vectorIiSaIiEE9push_backERKi ; 
std: :vector<int,std::allocator<int>>::push_ back(int const&) 
lea eax, [esp+14h] 
mov [esp], eax 
call _Z4dumpP14vector_of_ints ; dump(vector of_ints *) 
mov dword ptr [esp+10h], 3 
lea eax, [esp+10h] 
mov [esp+4], eax 
lea eax, [esp+14h] 
mov [esp], eax 
call _ZNSt6vectorIiSaIiEE9push_backERKi ; 
std: :vector<int,std::allocator<int>>::push_back(int const&) 
lea eax, [esp+14h] 
mov [esp], eax 
call _Z4dumpP14vector_of_ints ; dump(vector of_ints *) 
mov dword ptr [esp+10h], 4 
lea eax, [esp+10h] 
mov [esp+4], eax 
lea eax, [esp+14h] 
mov [esp], eax 
call _ZNSt6vectorIiSaIiEE9push_backERKi ; 
std: :vector<int,std::allocator<int>>::push_back(int const&) 
lea eax, [esp+14h] 
mov [esp], eax 
call _Z4dumpP14vector_of_ints ; dump(vector of_ints *) 
mov ebx, [esp+14h] 
mov eax, [esp+1Ch] 
sub eax, ebx 
cmp eax, 17h 
ja short loc_80001CF 
mov edi, [esp+18h] 
sub edi, ebx 
sar edi, 2 
mov dword ptr [esp], 18h 
call _Znwj ; operator new(uint) 
mov esi, eax 
test edi, edi 
jz short loc_80001AD 
lea eax, ds:O[edi*4] 


mov [esp+8], eax ; n 
mov [esp+4], ebx ; Src 
mov [esp], esi ; dest 


call memmove 


loc 80001А0: ; CODE XREF: main+F8 
mov eax, [esp+14h] 
test eax, eax 
jz short loc_80001BD 
mov [esp], eax ; void * 
call zdlPv ; operator delete(void *) 


loc 8000180: ; CODE XREF: main+117 
mov [esp+14h], esi 
lea eax, [esi+edi*4] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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mov [еѕр+18һ], eax 
add esi, 18h 
mov [esp+1Ch], esi 


loc 80001СЕ: ; CODE XREF: main+DD 
lea eax, [esp+14h] 
mov [esp], eax 
call _744итрР14месфог of_ints ; dump(vector о? ints *) 
mov dword ptr [esp+10h], 5 
lea eax, [esp+10h] 
mov [esp+4], eax 
lea eax, [esp+14h] 
mov [esp], eax 
call _ZNSt6vectorIiSaIiEE9push_backERKi ; 
std: :vector<int,std::allocator<int>>::push back(int const&) 
lea eax, [esp+14h] 
mov [esp], eax 
call _744итрР14месфог of_ints ; dump(vector of ints *) 
mov dword ptr [esp+10h], 6 
lea eax, [esp+10h] 
mov [esp+4], eax 
lea eax, [esp+14h] 
mov [esp], eax 
call _ZNSt6vectorIiSaIiEE9push_backERKi ; 
std: :vector<int,std::allocator<int>>::push_back(int сопѕї&) 
lea eax, [esp+14h] 
mov [esp], eax 
call _744итрР14месфог of_ints ; dump(vector о? ints *) 
mov eax, [esp+14h] 
mov edx, [esp+18h] 
sub edx, eax 
cmp edx, 17h 
ja short loc_8000246 


mov dword ptr [esp], offset aVector_m_range ; "vector::_ М range check" 
call ZSt20 throw out of_rangePKc ; 
std::_ throw out_of_range(char const*) 
loc 8000246: ; CODE XREF: main+19C 


mov eax, [eax+14h] 

mov [esp+8], eax 

mov dword ptr [esp+4], offset aD ; "%d\n" 
mov dword ptr [esp], 1 

call _printf_chk 

mov eax, [esp+14h] 

mov eax, [eax+20h] 

mov [esp+8], eax 

mov dword ptr [еѕр+4], offset aD ; "%d\n" 
mov dword ptr [esp], 1 

call _printf_chk 

mov eax, [esp+14h] 

test eax, eax 

jz short loc 80002АС 

mov [esp], eax ; void * 

call zdlPv ; operator delete(void *) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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jmp short 1ос 80002АС 


тоу ерх, еах 

mov edx, [еѕр+14һ] 

test edx, edx 

jz short loc 80002А4 

mov [esp], edx ; void * 

call _zdlPv ; operator delete(void *) 


loc_80002A4: ; CODE XREF: main+1FE 
mov [esp], ebx 
call _Unwind_Resume 


loc 80002АС: ; CODE XREF: main+1EA 
; main+1F4 
mov еах, 0 
lea esp, [ерр-0сһ] 


pop ebx 
pop еѕі 
pop edi 
pop ebp 


locret_80002B8: ; DATA XREF: .eh_frame:08000510 
; .еһ frame:080005BC 
retn 
main endp 


Метод .reserve() точно так же вставлен прямо B код main(). Он вызывает 
пем() если буфер слишком мал для нового массива, вызывает теттоуе() для 
копирования содержимого буфера, и вызывает delete() для освобождения 
старого буфера. 


Посмотрим, что выводит программа будучи скомпилированная ССС: 


_Myfirst=0x(nil), _Mylast=0x(nil), Муепа=0х (п11) 
size=0, сарасіїу=0 

_Myfirst=0x8257008, Му1аѕ1=0х825700с, Муепа=0х825700с 
$17е=1, сарасіїу=1 

element 0: 1 

_Myfirst=0x8257018, Му1аѕ51=0х8257020, Муепӣ=0х8257020 
517е=2, сарасіїу=2 

element 0: 1 

element 1: 2 

_Myfirst=0x8257028, Му1аѕ51=0х8257034, Муепӣ=0х8257038 
size=3, сарасіїу=4 

element 0: 1 

element 1: 2 

element 2: 3 

_Myfirst=0x8257028, Му1аѕ51=0х8257038, Муепӣ=0х8257038 
517е=4, сарасіїу=4 

element 0: 1 

element 1: 2 

element 2: 3 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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element 3: 4 

_Myfirst=0x8257040, Му1аѕ51=0х8257050, Муепӣ=0х8257058 
5і7е=4, сарасіїу=6 

element 0: 1 

element 1: 2 

element 2: 3 

element 3: 4 

_Myfirst=0x8257040, Му1аѕ51=0х8257054, Муепӣ=0х8257058 
5і7е=5, сарасіїу=6 


element 0: 1 
element 1: 2 
element 2: 3 
element 3: 4 
element 4: 


_Myfirst=0x8257040, Му1аѕ51=0х8257058, Муепӣ=0х8257058 
5і7е=6, сарасіїу=6 

element 
element 
element 
element 
element 
element 
6 

0 


проно 
олш м 


Мы можем заметить, что буфер растет иначе чем в MSVC. 


При помощи простых экспериментов становится ясно, что в реализации MSVC 
буфер увеличивается на ~50% каждый раз, когда он должен был увеличен, а 
у ССС он увеличивается на 100% каждый раз, т.е. удваивается. 


5Е4:: тар и ѕёа::ѕеё 


Двоичное дерево—это еще одна фундаментальная структура данных. Как сле- 
дует из названия, это дерево, но у каждого узла максимум 2 связи с другими 
узлами. Каждый узел имеет ключ и/или значение: в 514: : ѕеї у каждого узла 
есть ключ, в std: : тар у каждого узла есть и ключ и значение. 


Обычно, именно при помощи двоичных деревьев реализуются «словари» пар 
ключ-значения (АКА «ассоциативные массивы»). 


Двоичные деревья имеют по крайней мере три важных свойства: 
• Все ключи всегда хранятся в отсортированном виде. 


• Могут храниться ключи любых типов. Алгоритмы для работы С ДВОИЧНЫМИ 
деревьями не зависят от типа ключа, для работы им нужна только функ- 
ция для сравнения ключей. 


• Поиск заданного ключа относительно быстрый по сравнению со списками 
или массивами. 


Очень простой пример: давайте сохраним вот эти числа в двоичном дереве: 0, 
1,2, 3, 5, 6, 9, 10, 11, 12, 20, 99, 100, 101, 107, 1001, 1010. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Все ключи меньше чем значение ключа узла, сохраняются по левой стороне. 
Все ключи больше чем значение ключа узла, сохраняются по правой стороне. 


Таким образом, алгоритм для поиска нужного ключа прост: если искомое зна- 
чение меньше чем значение текущего узла: двигаемся влево, если больше: 
двигаемся вправо, останавливаемся если они равны. Таким образом, алгоритм 
может искать числа, текстовые строки, и т. д., пользуясь только функцией 
сравнения ключей. 


Все ключи имеют уникальные значения. 


Учитывая это, нужно ғ 109, п шагов для поиска ключа в сбалансированном де- 
реве, содержащем n ключей. Это ғ 10 шагов для ~ 1000 ключей, или s 13 шагов 
для = 10000 ключей. Неплохо, но для этого дерево всегда должно быть сбалан- 
сировано: т.е. ключи должны быть равномерно распределены на всех ярусах. 
Операции вставки и удаления проводят дополнительную работу по обслужи- 
ванию дерева и сохранения его в сбалансированном состоянии. 


Известно несколько популярных алгоритмов балансировки, включая АМЇ-деревья 
и красно-черные деревья. Последний дополняет узел значением «цвета» для 
упрощения балансировки, таким образом каждый узел может быть «красным» 
или «черным». 


Реализации std: : тари std: : ѕеї обоих ССС и MSVC используют красно-черные 
деревья. 


std: : ѕеї содержит только ключи. Std: : тар это «расширенная» версия set: здесь 
имеется еще и значение (value) на каждом узле. 


MSVC 


#include <map> 
#include <set> 
#include <string> 
#include <iostream> 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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// Структура не запакована! Каждое поле занимает 4 байта. 
struct tree_node 


{ 
struct tree_node *Left; 
struct tree_node Parent; 
struct tree_node *Right; 
char Color; // 0 - Red, 1 - Black 
char Isnil; 
//std::pair Myval; 
unsigned int first; // называется Myval в std::set 
const char жѕесопа; // отсутствует в std::set 
$; 
struct tree_struct 
{ 
struct tree_node *Мупеаа; 
size_t Mysize; 
}; 


void dump_tree_node (struct tree node жп, bool is_set, bool traverse) 
{ 
printf ("ptr=0x%p Left=0x%p Parent=0x%p Right=0x%p Color=%d Т5п11=%4\п" / 
>, 
п, n->Left, п->Рагепї, n->Right, n->Color, n->Isnil); 
if (n->Isnil==0) 


{ 
if (is_set) 
printf ("first=%d\n", n->first); 
else 
printf ("first=%d second=[%s]\n", n->first, n->second); 
} 
if (traverse) 
{ 
if (п->15пі1==1) 
dump_tree_node (n->Parent, is_set, true); 
else 
{ 
if (n->Left->Isnil==0) 
dump_tree_node (n->Left, is_set, true); 
if (n->Right->Isnil==0) 
dump_tree_node (n->Right, is_set, true); 
}; 
}; 


}; 
const char» ALOT ОЕ _TABS="\t\t\t\t\t\t\t\t\t\t\t"; 


void dump_as_tree (int tabs, struct tree node жп, bool is_set) 
{ 

if (is_set) 
printf ("%d\n", n->first); 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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е1ѕе 
printf ("а [%5]\п", n->first, п->ѕесопа); 
if (n->Left->Isnil==0) 


{ 
printf ("%.xsL-----—--— ", tabs, ALOT ОЕ ТАВ$); 
dump_as_tree (tabs+1, n->Left, is_set); 
$; 
if (n->Right->Isnil==0) 
{ 
printf ("%.ж5В------- ", tabs, ALOT ОЕ ТАВ$); 
dump_as_tree (tabs+1, n->Right, is_set); 
$; 
$; 
void аитр тар апа ѕеї (ѕ+гисї tree struct жт, bool 15 ѕеї) 
{ 
printf ("рі г=0х%р, Муһеаа=0х%р, Муѕіғе=%0\п", m, т->Муһеаа, м->Му$17е); 
dump +гее поде (т->Муһеаа, 1ѕ ѕеї, true); 
printf ("As а їгее: \п"); 
printf ("гоот-———"); 
dump_as_tree (1, m->Myhead->Parent, іѕ ѕеї); 
}; 
int main() 
{ 


// map 
std: :map<int, const char*> m; 


m[10]="ten"; 

m[20]="twenty"; 

m[3]="three"; 

m[101]="one hundred one"; 
m[100]="one hundred"; 
m[12]="twelve"; 

т[107]="опе hundred seven"; 
m[0]="zero"; 

т[1]="опе"; 

m[6]="six"; 
m[99]="ninety-nine"; 
m[5]="five"; 

m[11]="eleven"; 

m[1001]="one thousand one"; 
m[1010]="one thousand ten"; 
m[2]="tw0"; 

m[9]="nine"; 

printf ("dumping m as map:\n"); 
dump map_and_set ((struct tree struct ж) (моіаж)&т, false); 


std: :map<int, const char*>::iterator itl=m.begin(); 

printf ("m.begin():\n"); 

dump_tree_node ((struct tree_node ж) ж (моійжж)&і+1, false, false); 
itl=m.end(); 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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printf ("т.епа() :\п"); 


dump Егее пое ((struct tree node ж)ж(моіажж)&1і+1, false, false); 


// set 


std: :set<int> 5; 
.insert(123); 

.insert(456); 

.insert(11); 
.insert(12); 
.insert(100); 
s.insert(1001); 


щл щл шщ (щл (л 


printf ("dumping s as ѕеї:\п"); 
dump map_and_set ((struct tree struct ж) (моійж)&5, true); 
std: :set<int>::iterator it2=s.begin(); 


printf ("s.begin():\n"); 


dump _tree_node ((struct tree node *)*(void**)&it2, true, false); 


it2=s.end(); 
printf ("s.end():\n"); 


dump _ tree_node ((struct tree node *)*(void**)&it2, true, false); 


Листинг 3.116: MSVC 2012 


dumping m as map: 


ptr=0x0020FE04, Myhead=0x005BB3A0, Mysize=17 


ptr=0x005BB3A0 Left=0x005BB4A0 
4 Isnil=1 

pt r=0x005BB3C0 Left=0x005BB4C0 
4 Isnil=0 

first=10 second=[ten] 

ptr=0x005BB4C0 Left=0x005BB4A0 
4 Isnil=0 

first=1 second=[one] 

ptr=0x005BB4A0 Left=0x005BB3A0 
4 Isnil=0 

first=0 second=[zero] 

ptr=0x005BB520 Left=0x005BB400 
4 Isnil=0 

first=5 second=[five] 

ptr=0x005BB400 Left=0x005BB5A0 
4 Isnil=0 

first=3 second=[three] 

ptr=0x005BB5A0 Left=0x005BB3A0 
4 Isnil=0 

first=2 second=[two] 

ptr=0x005BB4E0 Left=0x005BB3A0 
4 Isnil=0 

first=6 second=[six] 

ptr=0x005BB5C0 Left=0x005BB3A0 
4 Isnil=0 

first=9 second=[nine] 

pt г=0х005ВВ440 Left=0x005BB3E0 
4 Isnil=0 


Pa rent=0x005BB3C0 


Pa rent=0x005BB3A0 


Parent=0x005BB3C0 


Pa rent=0x005BB4C0 


Pa rent=0x005BB4C0 


Parent=0x005BB520 


Parent=0x005BB400 


Parent=0x005BB520 


Parent=0x005BB4E0 


Parent=0x005BB3C0 


Right=0x005BB580 


Right=0x005BB440 


Right=0x005BB520 


Right=0x005BB3A0 


Right=0x005BB4E0 


Right=0x005BB3A0 


Right=0x005BB3A0 


Right=0x005BB5C0 


Right=0x005BB3A0 


Right=0x005BB480 


Color=1 


Color=1 


Color=1 


Color=1 


Color=0 


Color=1 


Color=0 


Color=1 


Color=0 


Color=1 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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11г5{=100 ѕесопа= [опе hundred] 

рїг=0х005ВВЗЕО Left=0x005BB460 Рагепї=0х005ВВ440 
\› Іѕпі1=0 

11г5{=20 ѕесопа= [+меп+у ] 

рї г=0х005ВВ460 Left=0x005BB540 Parent=0x005BB3E0 
4 Іѕпі1=0 

11г5{=12 second=[twelve] 

рї г=0х005ВВ540 Left=0x005BB3A0 Рагепї=0х005ВВ460 
\› Іѕпі1=0 

11г5{=11 ѕесопа= [е1емеп] 

рїг=0х005ВВ500 Left=0x005BB3A0 Рагепї=0х005ВВЗЕО 
\› Іѕпі1=0 

first=99 зесопа=[п1пефу-п1пе] 

рї г=0х005ВВ480 Left=0x005BB420 Рагепї=0х005ВВ440 
4 Іѕпі1=0 

?1г51=107 ѕесопад= [опе hundred seven] 

рї г=0х005ВВ420 Left=0x005BB3A0 Рагепї=0х005ВВ480 
4 Іѕпі1=0 

11г5{=101 ѕесопа= [опе hundred опе] 

рїг=0х005ВВ560 Left=0x005BB3A0 Рагепї=0х005ВВ480 
4 Іѕпі1=0 

?1г51=1001 ѕесопа= [опе thousand опе] 


Right=0x005BB500 


Right=0x005BB3A0 


Right=0x005BB3A0 


Right=0x005BB3A0 


Right=0x005BB560 


Right=0x005BB3A0 


Right=0x005BB580 


Color=0 / 


Color=1 2 


Color=0 / 


Color=1 2 


Color=0 / 


Color=1 2 


Color=1 2 


Color=0 / 


ptr=0x005BB580 Left=0x005BB3A0 Parent=0x005BB560 Right=0x005BB3A0 
4 Isnil=0 
first=1010 second=[one thousand ten] 
As a tree: 
root-—---10 [ten] 
1------- 1 [опе] 
1------- 0 [zero] 
&К------- 5 [five] 
1------- 3 [three] 
1------- 2 [two] 
&------- 6 [six] 
В------- 9 [nine] 
В------- 100 [опе hundred] 
1-=------ 20 [twenty] 
1-=-=-=---- 12 [twelve] 
1-=-==---- 11 [eleven] 
В------- 99 [ninety-nine] 
В------- 107 [опе hundred seven] 
1------- 101 [опе hundred опе] 
В------- 1001 [опе thousand one] 
В------- 1010 [опе thousand ten] 
т. бедіп() : 
рї г=0х005ВВ4А0 Left=0x005BB3A0 Рагепї=0х005ВВ4С0 Right=0x005BB3A0 Color=1 / 
\› Іѕпі1=0 
Ғігѕ1=0 ѕесопа= [ ғего] 
т.епа() : 


рї г=0х005ВВЗАО Left=0x005BB4A0 Parent=0x005BB3C0 Right=0x005BB580 Со1ог=1 / 


4 Іѕпі1=1 


dumping $ as set: 
ptr=0x0020FDFC, Myhead=0x005BB5E0, Mysize=6 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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р+г=0х005ВВ5Еб Left=0x005BB640 Рагепі=0х005ВВ600 Right=0x005BB6A0 Color=1 / 
$ Isnil=1 
рї г=0х005ВВ600 Left=0x005BB660 Рагеп*+=0х005ВВ5ЕО Right=0x005BB620 Color=1 / 
$ Іѕпі1=0 
first=123 
ptr=0x005BB660 Left=0x005BB640 Parent=0x005BB600 Right=0x005BB680 Color=1 / 
$ Isnil=0 
first=12 
ptr=0x005BB640 Left=0x005BB5E0 Parent=0x005BB660 Right=0x005BB5E0 Color=0 / 
S Isnil=0 
first=11 
ptr=0x005BB680 Left=0x005BB5E0 Parent=0x005BB660 Right=0x005BB5E0 Color=0 / 
$ Isnil=0 
first=100 
ptr=0x005BB620 Left=0x005BB5E0 Parent=0x005BB600 Right=0x005BB6A0 Color=1 / 
$ Isnil=0 
first=456 
ptr=0x005BB6A0 Left=0x005BB5E0 Parent=0x005BB620 Right=0x005BB5E0 Color=0 / 
$ Isnil=0 
first=1001 
As a tree: 
root----123 
Е------- 12 
Е------- 11 
В----—-ф 100 
В----—- 456 
В------ 1901 
s.begin(): 
ptr=0x005BB640 Left=0x005BB5E0 Parent=0x005BB660 Right=0x005BB5E0 Color=0 / 
$ Isnil=0 
first=11 
s.end(): 
ptr=0x005BB5E0 Left=0x005BB640 Parent=0x005BB600 Right=0x005BB6A0 Color=1 / 
S Isnil=1 


Структура He запакована, так что оба значения типа char занимают по 4 байта. 


В std: : мар, first и second могут быть представлены как одно значение типа 
514: :раіг. 514: :5еї имеет только одно значение в этом месте структуры. 


Текущий размер дерева всегда присутствует, как и в случае реализации 5+4: : 1151 
в М5\/С (3.19.4 (стр. 730)). 


Как и в случае с std: : list, итераторы это просто указатели на узлы. Итера- 
тор .Бедіп() указывает на минимальный ключ. Этот указатель нигде не CO- 
хранен (как в списках), минимальный ключ дерева нужно находить каждый 
раз. орега+ог- - и орегатог++ перемещают указатель не текущий узел на узел- 
предшественник или узел-преемник, т.е. узлы содержащие предыдущий и сле- 
дующий ключ. Алгоритмы для всех этих операций описаны в [Согтеп, Тћотаѕ 
Н. апа Геіѕегѕоп, Charles Е. апа Rivest, Ronald L. апа Stein, Clifford, Introduction to 
Algorithms, Third Edition, (2009)]. 


Итератор .end() указывает Ha узел-пустышку, он имеет 1 B Isnil, что означа- 
ет, что у узла нет ключа и/или значения. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Так что его можно рассматривать как «landing zone» в НОЮ?6. Этот узел часто 
называется sentinel [см. М. Wirth, Algorithms апа Data Structures, 1985] 37. 


Поле «рагег{» узла-пустышки указывает на корневой узел, который служит 
как вершина дерева, и уже содержит информацию. 


GCC 


#include <stdio.h> 
#include <map> 
#include <set> 
#include <string> 
#include <iostream> 


struct map pair 


{ 
int key; 
const char жуа\ие; 

$; 

struct їгее пое 

{ 
int М со1ог; // © - Red, 1 - Black 
struct +гее пое *М рагеп*; 
struct їгее пое *М Тетт; 
struct фгее пое *М гідһ; 

}; 

struct tree_struct 

{ 
int М Кеу сотраге; 
struct +гее пое М header; 
size t М поде соипї; 

}; 


void dump_tree_node (struct їгее пое жп, bool is_set, bool traverse, bool / 
 аитр Кеуѕ апа ма1иеѕ) 
{ 
printf ("рі г=0х%р М _left=0x%p М рагепі=0х%р М гідһі=0х%р М со1ог=%а\п", 
п, n->M_left, п->М рагепї, п->М гідһі, п->М со1ог); 


void жроіпї аР%ег _${гист= ( (сһагж) п) +5ілео?(ѕігисї %гее поде); 


if (dump Кеуѕ апа хма1иеѕ) 
{ 
if (15 ѕеї) 
printf ("Кеу=%а\п", *(1пї*)ро1пї_аТТег_5їгисї); 
е1ѕе 
{ 
struct тар раіг жр= (ѕ5їгисї тар раіг ж)роіпї а?%ег ѕїгисї; 


36Нага Disk Drive 
37http://www.ethoberon.ethz.ch/WirthPubl/AD. pdf 
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printf ("Кеу=%а уа\ие=[%5]\п", р->Кеу, р->уа\ие); 
}; 
}; 


if (+гамегѕе==Ға1ѕе) 
return; 


if (n->M_left) 
dump_tree_node (n->M_left, is_set, traverse, dump keys апа уа\иеѕ); 
if (n->M_right) 
dump_tree_node (n->M_right, is_set, traverse, dump Кеуѕ апа хма1иеѕ) 2 
„>; 
}; 


const char» ALOT _OF_TABS="\t\t\t\t\t\t\t\t\t\t\t"; 


void dump_as_tree (int tabs, struct tree node жп, bool is_set) 


{ 


void *point_after _ struct=((char*)n)+sizeof(struct tree_node); 


if (is_set) 
printf ("%d\n", »x(int»)point_after_struct); 

else 

{ 
struct тар раіг »p=(struct тар _ pair *)point_after_ struct; 
printf ("%d [%s]\n", p->key, p->value); 


} 
if (n->M_left) 
{ 

printf ("%.»xsL------- ", tabs, ALOT ОЕ ТАВ$); 

dump_as_tree (tabs+1, n->M_left, is_set); 
}; 
if (n->M_right) 

{ 
printf ("%.ж5В------- ", tabs, ALOT ОЕ ТАВЅ) ; 
dump_as_tree (tabs+1, n->M_right, is_set); 
}; 
$; 
void dump_map_and_set(struct tree struct жт, bool 15 ѕеї) 
{ 
printf ("ptr=0x%p, M key сотраге=0х%х, М Пеадег=0х%р, М node count=%d\n/ 
ы”, 

т, М->М Кеу сотраге, &т—>М Пеадег, т->М пойе соипї) ; 
dump_tree_node (т->М Пеадег.М рагепі, 15 ѕеї, true, true); 
printf ("As а їгее: \п"); 
printf ("гоот-———"); 
dump _as_tree (1, м->М һеадег.М рагепї, 1ѕ ѕеї); 

$; 
int main() 
{ 
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// тар 
ѕїа::тар<іпі, const сПагж> т; 


m[10]="ten"; 
m[20]="twenty"; 
m[3]="three"; 

m[101]="one hundred one"; 
m[100]="one hundred"; 
m[12]="twelve"; 

m[107]="one hundred seven"; 
m[0]="zero"; 

т[1]="опе"; 

m[6]="six"; 
m[99]="ninety-nine"; 
m[5]="five"; 
m[11]="eleven"; 
m[1001]="one thousand one"; 
m[1010]="one thousand ten"; 
m[2]="tw0"; 

m[9]="nine"; 


printf ("dumping m as map:\n"); 
dump map_and_set ((struct tree struct ж) (моіаж)&т, false); 


std: :тар<іпї, const char*>::iterator 141=т.6ед1п(); 

printf ("m.begin():\n"); 

dump_tree_node ((struct tree_node ж) ж (моійжж)&і+1, false, false, true); 
14{1=т.епа(); 

printf ("m.end():\n"); 

dump_tree_node ((struct tree_node ж) ж (моійжж)&і+1, false, false, Ға1ѕе) / 
>, 


// set 


ѕ1їа::ѕеї<іпі> 5; 
.1п5ег* (123); 
.іпѕегї (456); 
.іпѕегї(11); 
.іпѕегї(12); 
.1п5ег* (100); 

5. іпѕегї (1001); 

printf ("dumping $ аз ѕеї:\п"); 

Ячтр тар апа ѕеї ((struct tree_struct ж) (моіаж)&5, true); 

514: : ѕеї<іпі>::іїегаТог 112=5.6е91п(); 

printf ("<. редіп() :\п"); 

аитр Хгее поде ((struct їгее поае *)*(\014**) &112, true, false, true); 
1142=5.епа(); 

printf ("5.епа():\п"); 

аитр Хгее поде ((struct їгее поде ж) ж (моійжж)&і+2, true, false, false); 


щл щл щл (щл щл 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Листинг 3.117: ССС 4.8.1 


dumping m as мар: 


ptr=0x0028FE3C, M_key_compare=0x402b70, M_header=0x0028FE40, М пойе соипф/ 


S =17 


ptr=0x007A4988 М left=0x007A4C00 М parent=0x0028FE40 M right=0x007A4B80 2 


5 M_color=1 

key=10 value=[ten] 

ptr=0x007A4C00 М _left=0x007A4BE0 
М со1ог=1 

Кеу=1 ма\1ие= [опе] 

рег=0х007А4ВЕО М 1е?#+=0х00000000 
$ М со1ог=1 

Кеу=0 value=[zero] 

рї г=0х007А4С60 М left=0x007A4B40 
$ М со1ог=0 

Кеу=5 value=[five] 

рі г=0х007А4В40 М left=0x007A4CE0 
$ М со1ог=1 

Кеу=3 value=[three] 

рег=0х007А4СЕО M_left=0x00000000 
М со1ог=0 

Кеу=2 value=[two] 

ріг=0х007А4С20 М 1е?#+=0х00000000 
$ М со1ог=1 

Кеу=б value=[six] 

ріг=0х007А4000 М 1е?#=0х00000000 
М со1ог=0 

Кеу=9 value=[nine] 

рі г=0х007А4В80 М left=0x007A49A8 
$ М со1ог=1 

Кеу=100 уа\ие=[опе hundred] 

рї г=0х007А49А8 М left=0x007A4BA0 
„ М со1ог=0 

Кеу=20 value=[twenty] 

рі г=0х007А4ВАО М left=0x007A4C80 
s М со1ог=1 

Кеу=12 value=[twelve] 

ріг=0х007А4С80 М 1е?=0х00000000 
М со1ог=0 

Кеу=11 value=[eleven] 

ріг=0х007А4С40 М 1е?=0х00000000 
$ М со1ог=1 

Кеу=99 value=[ninety-nine] 

рі г=0х007А4ВСО М left=0x007A4B60 
М со1ог=0 

Кеу=107 уа\1ие= [опе hundred seven] 

ріг=0х007А4В60 M_left=0x00000000 
$ М со1ог=1 

Кеу=101 уа\ие=[опе hundred one] 

рег=0х007А4САО M_left=0x00000000 
$ М со1ог=1 

Кеу=1001 уа\ие=[опе thousand опе] 


рег=0х007А4СС0 М 1е?=0х00000000 М рагеп=0х007А4САО М гідћї=0х00000000 / 


М рагепї=0х007А4988 


М рагепі=0х007А4С00 


М рагепі=0х007А4С00 


М рагепі=0х007А4С60 


М рагепі=0х007А4В40 


М рагепі=0х007А4С60 


М рагепі=0х007А4С20 


М рагепї=0х007А4988 


М рагепі=0х007А4В80 


М рагепі=0х007А49А8 


М рагепі=0х007А4АВАО 


М рагеп{=0х007А49А8 


М рагепї=0х007А4В80 


М рагепі=0х007А4ВСО 


M_parent=0x007A4BC0 


M_right=0x007A4C60 


M_right=0x00000000 


M_right=0x007A4C20 


M_right=0x00000000 


M_right=0x00000000 


M_right=0x007A4D00 


M_right=0x00000000 


M_right=0x007A4BC0 


M_right=0x007A4C40 


M_right=0x00000000 


M_right=0x00000000 


M_right=0x00000000 


M_right=0x007A4CA0 


M_right=0x00000000 


M_right=0x007A4CC0 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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$ М со1ог=0 
Кеу=1010 уа\ие=[опе thousand ten] 
As а tree: 
root-—---10 [ten] 
Е------- 1 [опе] 
1------- 0 [zero] 
В------- 5 [five] 
L------- 3 [three] 
ЕЕ 2 [two] 
А------- 6 [six] 
R------- 9 [nine] 
В------ 100 [опе hundred] 
1-=------ 20 [twenty] 
1---=--- 12 [twelve] 
1------- 11 [eleven] 
В------- 99 [ninety-nine] 
В------ 107 [опе hundred seven] 
Е-----—- 101 [опе hundred опе] 
В------- 1001 [опе thousand опе] 
В------- 1010 [опе thousand ten] 
т. бедіп() : 
рї г=0х007АДВЕО М left=0x00000000 М рагепі=0х007А4С00 М right=0x00000000 2 
М со1ог=1 
Кеу=0 value=[zero] 
т.епа() : 
рї г=0х0028ЕЕ40 М left=0x007A4BE0 М рагепї=0х007А4988 М right=0x007A4CC0 2 
М со1ог=0 


dumping s as set: 

ptr=0x0028FE20, М Кеу сотраге=0х8, M_header=0x0028FE24, M_node_count=6 

ptr=0x007A1E80 M left=0x01D5D890 М parent=0x0028FE24 М right=0x01D5D850 / 
$ M_color=1 

key=123 

ptr=0x01D5D890 M left=0x01D5D870 М parent=0x007A1E80 М right=0x01D5D8B0 2 
М со1ог=1 

Кеу=12 

рї г=0х01050870 М left=0x00000000 М рагеп=0х01050890 М гідћї=0х00000000 2 
s М со1ог=0 

Кеу=11 

рї г=0х010508В0 М left=0x00000000 М рагеп=0х01050890 М гідћї=0х00000000 2 
„ М со1ог=0 

Кеу=100 

ptr=0x01D5D850 М left=0x00000000 М рагепі=0х007А1Е80 М гідһ+=0х010508р0 2 
$ М со1ог=1 

Кеу=456 

рї г=0х01050800 М left=0x00000000 М рагеп=0х01050850 М гідћї=0х00000000 2 
М со1ог=0 

Кеу=1001 

As а tree: 

root----123 
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s.begin(): 

ptr=0x01D5D870 М left=0x00000000 М parent=0x01D5D890 М гідћї=0х00000000 2 
М со1ог=0 

Кеу=11 

5.епа(): 

рїг=0х0028ЕЕ24 М left=0x01D5D870 М рагепі=0х007А1Е80 М right=0x01D5D8D0 2 
$ М со1ог=0 


Реализация в ССС очень похожа 38. Разница только в том, что здесь нет поля 
Іѕпі1, так что структура занимает немного меньше места в памяти чем та что 
реализована в MSVC. 


Узел-пустышка — это также место, куда указывает итератор .епа(), не имею- 
щий ключа и/или значения. 


Демонстрация перебалансировки (ССС) 


Вот также демонстрация, показывающая нам как дерево может перебаланси- 
роваться после вставок. 


Листинг 3.118: ССС 


#include <stdio.h> 
#include <map> 
#include <set> 
#include <string> 
#include <iostream> 


struct тар раіг 


{ 
int key; 
const char value; 

$; 

struct tree_node 

{ 
int М color; // © - Red, 1 - Black 
struct tree пое *М рагепї; 
struct їгее поде *M_left; 
struct Хгее пое *М гідһ; 

}; 

struct tree_struct 

{ 
int M_key_compare; 
struct tree_node M header; 
size t M node_count; 

$; 


ЗВ Ир: //дсс.дпи. ого/оп1іпейосѕ/11рѕтас++/11рѕтас++- Нет - ЏЅЕВЅ-4.1/511 Ёгее 
8Н - ѕоигсе. Пет 
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const char» ALOT _OF_TABS="\t\t\t\t\t\t\t\t\t\t\t"; 


void dump_as_tree (int tabs, struct tree_node *п) 


{ 
void *point_after _ struct=((char*)n)+sizeof(struct tree_node); 
printf ("%d\n", ж(іпіж)роіпі а#тег struct); 
if (n->M_left) 
{ 
printf ("%.»xsL------- ", tabs, ALOT ОЕ ТАВ$); 
dump_as_tree (tabs+1, n->M_left); 
}; 
if (n->M_right) 
{ 
printf ("%. ж5В------- ", tabs, АШОТ ОЕ ТАВЅ) ; 
dump_as_tree (tabs+1, п->М гідһ+); 
}; 
}; 
void dump тар апа ѕеї (ѕїгисї tree _ struct жт) 
{ 
printf ("гоот-———"); 
dump _as_tree (1, м->М Неадег.М рагеп*); 
$; 
int main() 
{ 
std: :set<int> 5; 
s.insert(123); 
s.insert(456); 
printf ("123, 456 has been inserted\n"); 
dump_map_and_set ((struct tree_struct *)(void*)&s); 
s.insert(11); 
s.insert(12); 
printf ("\n"); 
printf ("11, 12 has been inserted\n"); 
dump_map_and_set ((struct tree_struct *)(void*)&s); 
s.insert(100); 
s.insert(1001); 
printf ("\n"); 
printf ("100, 1001 has been inserted\n"); 
dump_map_and_set ((struct tree_struct *)(void*)&s); 
s.insert(667); 
s.insert(1); 
s.insert(4); 
s.insert(7); 
printf ("\n"); 
printf ("667, 1, 4, 7 has been inserted\n"); 
dump_map_and_set ((struct tree_struct ж) (\014*)&5); 
printf ("\n"); 
$; 
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Листинг 3.119: ССС 4.8.1 


123, 456 has been inserted 


root----123 
= 456 
11, 12 has been inserted 
root----123 
Е------= 11 
В------- 12 
= 456 
100, 1001 has been inserted 
root----123 
Е------= 12 
Е------= 11 
В------- 100 
= 456 
В------- 1001 
667, 1, 4, 7 has been inserted 
гоот-———12 
Е------= 4 
Е------= 1 
В------- 11 
Е------= 7 
В------- 123 
Е------- 100 
В------- 667 
Е------- 456 
В------- 1001 


3.19.5. Память 


Иногда вы можете услышать от программистов на Си++ «выделить память 
на/в стеке» и/или «выделить память в куче». 


Выделение памяти на стеке: 


void f() 
{ 


Class o=Class(...); 


}; 


Память для объекта (или структуры) выделяется в стеке, при помощи простого 
сдвига SP. Память освобождается во время выхода из ф-ции, или, более точно, 
в конце области видимости (5соре)—5Р возвращается в своё состояние (такое 
же, как при старте ф-ции) и вызывается деструктор класса Class. В такой же 
манере, выделяется и освобождается память для структуры в Си. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Выделение памяти для объекта в куче: 


моіа 11() 
{ 


Class жо=пем С1аѕ5(...); 


}; 
void #2() 
{ 


delete о; 


}; 


Это то же самое, как и выделять память для структуры используя ф-цию та//ос(). 
На самом деле, new в Си++ это wrapper для та!ос(), а delete это wrapper для 
free(). T.K., блок памяти был выделен в куче, он должен быть освобожден явно, 
используя delete. Деструктор класса будет автоматически вызван прямо перед 
этим моментом. 


Какой метод лучше? Выделение на стеке очень быстрое и подходит для ма- 
леньких объектов с коротким сроком жизни, которые будут использоваться 
только в текущей ф-ции. 


Выделение в куче медленнее, и лучше для объектов с долгим сроком жизни, 
которые будут использоваться в нескольких (или многих) ф-циях. Также, объ- 
екты выделенные в куче подвержены утечкам памяти, потому что их нужно 
освобождать явно, но об этом легко забыть. 


Так или иначе, это дело вкуса. 


3.20. Отрицательные индексы массивов 


Возможно адресовать место в памяти перед массивом задавая отрицательный 
индекс, например, array|-1]. 


3.20.1. Адресация строки с конца 


ЯП Питон позволяет адресовать строки с конца. Например, string[-1] возвра- 
щает последний символ, ѕїгіпд[-2] возвращает предпоследний, и т. д. Трудно 
поверить, но в Си/Си+ +это также возможно: 


#include <string.h> 
#include <stdio.h> 


int main() 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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{ 
char жѕ="Не11о, мог1а!"; 
char *»s_end=s+strlen(s); 
printf ("last character: %c\n", s_end[-1]); 
printf ("penultimate character: %c\n", s_end[-2]); 
$; 


Это работает, но 5 епа должен всегда содержать адрес оконечивающего нуле- 
вого байта строки $. Если длина строки $ изменилась, $ епа должен обновится. 


Это сомнительный трюк, но опять же, это хорошая демонстрация отрицатель- 
ных индексов. 


3.20.2. Адресация некоторого блока с конца 


Вначале вспомним, почему стек растет в обратную сторону (1.9.1 (стр. 42)). 
Есть в памяти какой-то блок и вам нужно держать там и кучу (heap) и стек, и 
вы не уверены, насколько вырастут обе структуры во время исполнения кода. 


Вы можете установить указатель ћеар в начало блока, затем установить ука- 
затель Stack в конец блока (heap + size_of_block), затем вы можете адресовать 
п-ый элемент стека как ѕѓаск[-п]. Например, ѕѓаск[-1] для 1-го элемента, <їасК[- 
2] для 2-го, ит. д. 


Это работает точно так же, как и трюк с адресацией строки с конца. 


Проверять, не пересекаются ли структуры друг с другом легко: просто убе- 
диться, что адрес последнего элемента в һеар всегда меньше, чем адрес по- 
следнего элемента в stack. 


К сожалению, индекс -0 работать не будет, т.к. способ представления отрица- 
тельных чисел (дополнительный код) не поддерживает отрицательный ноль, 
так что он не будет отличим от положительного ноля. 


Этот метод также упоминается в “Transaction processing” Jim Gray, 1993, глава 
“Тһе Tuple-Oriented File System”, стр. 755. 


3.20.3. Массивы начинающиеся с 1 


В Фортране и Mathematica первый элемент массива адресуется как 1-ый, Bepo- 
ятно, потому что так традиционно в математике. Другие ЯП как Си/Си+ +адресуют 


его как 0-й. Как лучше? Эдсгер Дейкстра считал что последний способ лучше 
39 


Но привычка у программистов после Фортрана может остаться, так что все 
еще возможно адресовать первый элемент через 1 в Си/Си++используя этот 
трюк: 


#include <stdio.h> 


39See https://www. cs .utexas .edu/users/EWD/transcriptions/EWD08xx/EWD831.html 
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int main() 


{ 


int random ма1ие=0х11223344; 
unsigned char array[10]; 


int i; 


unsigned char xfakearray=&array[-1]; 


for (1=0; 1<10; i++) 


аггау [1]=1; 


printf ("first element %4\п", Ғакеаггау[1]); 
printf ("second element %d\n", fakearray[2]); 
printf ("last element %d\n", fakearray[10]); 


printf ("аггау[-1]=%02Х, array[-2]=%02X, array[-3]=%02X, arrayz 
s [-4]=%02Х\п", 


array[-1], 
array[-2], 
array[-3], 
аггау [-4]); 
$}; 
Листинг 3.120: Неоптимизирующий М5\С 2010 
$562751 ОВ 'first element %а', дан, 00Н 
$562752 ОВ 'ѕесопа element %4', бан, ӨӨН 
$562753 DB 'last element %4', бан, 00H 
$562754 DB 'array[-1]=%02X, array[-2]=%02X, array[-3]=%02X, аггау[-4' 
DB ']=%02X', Фан, Өөн 
_fakearray$ = -24 ; size=4 
_random_value$ = -20 ; size = 4 
_аггау$ = -16 ; size = 10 
_1$ = -4 ; 5176 = 4 
_таіп PROC 
push ebp 
mov ebp, esp 
sub esp, 24 
mov DWORD PTR гапот value$[ebp], 287454020 ; 11223344H 
; установить fakearray[] на байт раньше перед аггау[] 
lea eax, DWORD PTR _array$[ebp] 
add eax, -1 ; еах=еах-1 
mov DWORD PTR fakearray$[ebp], eax 
mov DWORD PTR _i$[ebp], © 
jmp SHORT $LN3@main 
; заполнить array[] 0..9 
$. №2@та1п: 
тоу ecx, DWORD РТВ _1$[ебр] 
ааа есх, 1 
mov DWORD PTR _i$[ebp], ecx 
$LN3@main: 
cmp DWORD PTR _i$[ebp], 10 
jge SHORT $LN1@main 
mov edx, DWORD PTR _i$[ebp] 
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тоу al, BYTE PTR _i$[ebp] 
mov BYTE PTR _array$[ebp+edx], al 
jmp SHORT $LN2@main 
$LN1@main: 

mov ecx, DWORD PTR fakearray$[ebp] 
; есх=адрес fakearray[0], есх+1 это fakearray[1] либо аггау[0] 
тоу2х edx, BYTE РТВ [есх+1] 
push edx 
push OFFSET $562751 ; 'first element %d' 
call _printf 
add esp, 8 
mov eax, DWORD РТВ fakearray$[ebp] 
; еах=адрес fakearray[0], eax+2 это fakearray[2] либо array[1] 
тоу2х есх, ВУТЕ РТВ [еах+2] 
push ecx 
push OFFSET $562752 ; 'second element %d' 
call _printf 
add esp, 8 
mov edx, DWORD РТВ fakearray$[ebp] 
; е4х=адрес fakearray[0], ейх+10 это fakearray[10] либо array[9] 
тоу2х eax, BYTE PTR [ейх+10] 
push eax 
push OFFSET $562753 ; 'last element %d' 
call _printf 
add esp, 8 
; отнять 4, 3, 2 n Тот указателя array[0] чтобы найти значения, 

лежащие перед аггау[] 
1еа ecx, DWORD РТВ _аггау$ [ебр] 
тоу2х edx, BYTE РТВ [есх-4] 
push edx 
lea eax, DWORD PTR _array$[ebp] 
тоу2х есх, ВУТЕ РТВ [еах-3] 
push ecx 
lea edx, DWORD PTR _array$[ebp] 
тоу2х eax, BYTE РТВ [edx-2] 
push eax 
lea ecx, DWORD PTR _array$[ebp] 
тоу2х edx, BYTE РТВ [есх-1] 
push edx 
push OFFSET $562754 ; 

'array[-1]=%02X, array[-2]=%02X, array[-3]=%02X, array[-4]=%02X' 
call _printf 
add esp, 20 
xor eax, eax 
mov esp, ebp 
pop ebp 
ret 0 

_main ENDP 


Так что у нас тут массив array[] из десяти элементов, заполненный байтами 


0...9. 


Затем у нас указатель ТаКеаггау [] указывающий на один байт перед аггау [ ]. 
ТаКеаггау[1] указывает точно на аггау [0]. Но нам все еще любопытно, что 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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же находится перед аггау[]? Мы добавляем random value перед аггау[] и 
установим её в 0х11223344. Неоптимизирующий компилятор выделяет пере- 
менные в том же порядке, в котором они объявлены, так что да, 32-битная 
random value находится точно перед массивом. 


Запускаем, и: 


first element 0 

second element 1 

last element 9 

array[-1]=11, аггау[-2]=22, аггау[-3]=33, аггау[-4]=44 


Фрагмент стека, который мы скопипастим из окна стека в OllyDbg (включая 
комментарии автора): 


Листинг 3.121: Неоптимизирующий М5\С 2010 


CPU Stack 

Address Value 

001DFBCC /001DFBD3 ; указатель fakearray 

001DFBDO |11223344 ; random value 

001DFBD4 |03020100 ; 4 байта array[] 

001DFBD8 |07060504 ; 4 байта array[] 

001DFBDC |00CB0908 ; случайный мусор + 2 последних байта array[] 
001DFBEO |0000000A ; последнее значение 1 после того как закончился цикл 
001DFBE4 |0010ЕС2С ; сохраненное значение ЕВР 

001DFBE8 \00СВ1290 ; адрес возврата (ВА) 


Указатель на ТаКеаггау[] (0х0010ЕВ03) это действительно адрес аггау [ ] в сте- 
ке (0x001DFBD4), но минус 1 байт. 


Трюк этот все-таки слишком хакерский и сомнительный. Вряд ли кто-то будет 
его использовать в своем коде, но для демонстрации, он здесь очень уместен. 


3.21. Больше об указателях 


Тһе мау С handles pointers, for example, 
was a brilliant innovation; it solved a lot of 
problems that we had before in data 
structuring and made the programs look 
good afterwards. 


Дональд Кнут, интервью (1993) 


Для тех, кому все еще трудно понимать указатели в Си/Си++, вот еще приме- 
ры. Некоторые из них крайне странные и служат только демонстрационным 
целям: использовать подобное в ргодисЧоп-коде можно только если вы дей- 
ствительно понимаете, что вы делаете. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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3.21.1. Работа с адресами вместо указателей 


Указатель это просто адрес в памяти. Но почему мы пишем char* string вме- 
сто чего-нибудь вроде address string? Переменная-указатель дополнена TM- 
пом переменной, на которую указатель указывает. Тогда у компилятора будет 
возможность находить потенциальные ошибки типизации во время компиля- 
ции. 


Если быть педантом, типизация данных в языках программирования существу- 
ет для предотвращения ошибок и самодокументации. Вполне возможно ис- 
пользовать только два типа данных вроде int (или int64_t) и байт — это те 
единственные типы, которые доступны для программистов на ассемблере. Но 
написать что-то большое и практичное на ассемблере, при этом без ошибок, 
это трудная задача. Любая мелкая опечатка может привести к труднонаходи- 
мой ошибке. 


Информации о типах нет в скомпилированном коде (и это одна из основных 
проблем для декомпиляторов), и я могу это продемонстрировать. 


Вот как напишет обычный программист на Си/Си++: 


#include <stdio.h> 
#include <stdint.h> 


void print_string (char *s) 


{ 
printf ("(address: 0х%11х)\п", s); 
printf ("%s\n", s); 

}; 

int main() 

{ 
char »s="Hello, world!"; 
print_string (s); 

}; 


А вот что могу написать я: 


#include <stdio.h> 
#include <stdint.h> 


void print_string (uint64 t address) 


{ 
printf ("(address: 0х%11х)\п", address); 
puts ((char*)address); 
}; 
int main() 
{ 
char *<="Не11о‚ world!"; 
print_string ((uint64_t)s); 
}; 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Я использую uint64_t потому что я запускаю этот пример на Linux x64. int cro- 
дится для 32-битных ОС. В начале, указатель на символ (самый первый в стро- 
ке с приветствием) приводится к иіл 64 Е, затем он передается далее. Ф-ция 
ргіпї 51гіпд() приводит тип переданного значения из uint64_t в указатель 
на символ. 


Но вот что интересно, это то что ССС 4.8.4 генерирует идентичный результат 
на ассемблере для обеих версий: 


gcc 1.с -S -masm=intel -03 -fno-inline 


.LCO: 
.string "(address: 0х%11х)\п" 
print_string: 


push rbx 
mov rdx, rdi 
mov rbx, rdi 
mov esi, OFFSET FLAT: .LCO 
mov edi, 1 
xor eax, eax 
call _printf_chk 
mov rdi, rbx 
pop rbx 
jmp puts 
„ЕСТ: 
.string "Hello, world!" 
main: 
sub rsp, 8 
mov edi, OFFSET FLAT:.LC1 
call print_string 
add rsp, 8 
ret 


(Я убрал незначительные директивы GCC.) 
Я также пробовал утилиту UNIX diff и не нашел разницы вообще. 


Продолжим и дальше издеваться над традициями программирования в Си/- 
Си++. Кто-то может написать так: 


#include <stdio.h> 
#include <stdint.h> 


uint8 t load_byte at_address (uint8 їж address) 


{ 
return жадаге$$ ; 
//this is also possible: return адаге$$ [9]; 
$; 
void print_string (char *s) 
{ 
charx current_address=s; 
while (1) 
{ 
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char сиггеп сНаг=оа9_Буфе аї айагеѕ5 (сиггепї аййгеѕ5) ; 
if (сиггепї сһаг==0) 
ргеак; 
printf ("%с", сиггепі сһаг); 
сиггепї аЧ44ге$$++; 


}; 
}; 
int маіп() 
| char *<="Не11о‚ мог1а!"; 
' print_string (s); 


И это может быть переписано так: 


#include <stdio.h> 
#include <stdint.h> 


uint8 t load_byte аї ааагеѕѕ (uint64 t address) 


{ 
return *(uint8 t»*)address; 
$; 
void ргіпі $%г1пд (иіпїб4 t address) 
{ 
џіпіб4 t сиггепі ааагеѕѕ=ааагеѕ5; 
while (1) 
{ 
char сиггеп сһаг=1оаа буїе аї айагеѕ5 (сиггепї аййгеѕ5) ; 
if (сиггепї сһаг==0) 
break; 
printf ("%c", current_char); 
current_address++; 
}; 
$; 
int main() 
{ 
char *<="Не11о‚ world!"; 
print_string ((uint64_t)s); 
}; 


И тот и другой исходный код преобразуется в одинаковый результат Ha ассем- 
блере: 


gcc 1.с -S -masm=intel -03 -fno-inline 


load_byte_at_address: 
тоу2х еах, ВҮТЕ РТК [га1] 
ret 
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print_string: 


. LFB15: 
push rbx 
mov rbx, rdi 
jmp 14 

.Е7: 


movsx edi, al 
add rbx, 1 
call putchar 


„L4: 
mov rdi, rbx 
call 1оаа Ббу+е аї ааагеѕ5 
test al, al 
jne ‚17 
рор rbx 
ret 
.LCO: 
.string "Hello, world!" 
main: 
sub rsp, 8 
mov edi, OFFSET FLAT: .LCO 
call print_string 
add rsp, 8 
ret 


(Здесь я также убрал незначительные директивы GCC.) 


Разницы нет: указатели в Си/Си++, в сущности, адреса, но несут в себе также 
информацию о типе, чтобы предотвратить ошибки во время компиляции. Типы 
не проверяются во время исполнения, иначе это был бы огромный (и ненуж- 
ный) прирост времени исполнения. 


3.21.2. Передача значений как указателей; тэггированные 
объединения 


Вот как можно передавать обычные значения как указатели: 


#include <stdio.h> 
#include <stdint.h> 


uint64 t multiply1 (uint64 t a, uint64 t b) 


{ 
return a*b; 
}; 
uint64 їж multiply2 (иіпї64 t жа, uint64 t *b) 
{ 
return (uint64 t*)((uint64 t)a*(uint64 t)b); 
}; 
int маіп() 
{ 


printf ("%а\п", multiply1(123, 456)); 
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printf ("%а\п", (uint64 t)multiply2((uint64_ t*)123, (иіпїб4 їж) 456) / 
>); 
}; 


Это работает нормально и ССС 4.8.4 компилирует обе ф-ции multiply1() и multiply2() 


полностью идентично! 


multiplyl1: 
mov rax, rdi 
imul rax, rsi 
ret 

multiply2: 
mov rax, rdi 
imul rax, rsi 
ret 


Пока вы не разыменовываете указатель (dereference) (иными словами, если вы 
не пытаетесь прочитать данные по адресу в указателе), всё будет работать 
нормально. Указатель это переменная, которая может содержать что угодно, 
как и обычная переменная. 


Здесь используется инструкция для знакового умножения (IMUL) вместо без- 
знакового (MUL), об этом читайте больше здесь: 10.1 (стр. 1244). 


Кстати, это широко известный хак, называющийся tagged pointers. Если корот- 
ко, если все ваши указатели указывают на блоки в памяти размером, скажем, 
16 байт (или они всегда выровнены по 16-байтной границе), 4 младших би- 
та указателя будут всегда нулевыми, и это пространство может быть как-то 
использовано. Это очень популярно в компиляторах и интерпретаторах Ш$Р. 
Они хранят тип ячейки/объекта в неиспользующихся битах, и так можно сэко- 
номить немного памяти. И более того — имея только указатель, можно сразу 
выяснить тип ячейки/объекта, без дополнительного обращения к памяти. Чи- 
тайте об этом больше: [Денис Юричев, Заметки о языке программирования 
Си/Си++1.3]. 


3.21.3. Издевательство над указателями в ядре Windows 


Секция ресурсов в исполняемых файлах типа РЕ в Windows это секция, содер- 
жащая картинки, иконки, строки, и т. д. Ранние версии Windows позволяли 
иметь к ним доступ только при помощи идентификаторов, но потом в Microsoft 
добавили также и способ адресовать ресурсы при помощи строк. 


Так что потом стало возможным передать идентификатор или строку в ф-цию 
ҒіпаКеѕоигсе(). Которая декларирована вот так: 


НАЅАС МТМАРТ Е1паВезоигсе ( 
_In_opt_ HMODULE ҺМоац1е, 
_In_ LPCTSTR ТрМате, 
_In_ LPCTSTR lpType 

); 
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ІрМате и ІрТуре имеют тип char* или wchar*, и когда кто-то всё еще хочет 
передать идентификатор, нужно использовать макрос МАКЕИМТВЕ$ЗОЧВСЕ, вот 
так: 


result = Е1пдВезоигсе(..., МАКЕТМТВЕЗОЦВСЕ (1234), ...); 


Очень интересно то, что всё что делает МАКЕИМТВЕ$ЗОЧВСЕ это приводит yeno- 
численное к указателю. В MSVC 2013, в файле 
Microsoft SDKs\Windows\v7.1A\lnclude\Ks.h, мы можем найти это: 


#11 (!defined( МАКЕТМТВЕЗОЧВСЕ )) 
#define МАКЕІМТВЕЅОЦАСЕ ( res ) ((Ш10МС РТА) (USHORT) res) 
#епаі? 


Звучит безумно. Заглянем внутрь древнего, когда-то утекшего, исходного ко- 
да Windows МТ4. В private/windows/base/client/module.c мы можем найти исход- 
ный код FindResource(): 


HRSRC 

FindResourceA( 
HMODULE hModule, 
LPCSTR lpName, 
LPCSTR lpType 
) 


NTSTATUS Status; 
ULONG IdPath[ 3 ]; 


PVOID p; 
IdPath[ 0 ] = 0; 
IdPath[ 1 ] = 0; 
try { 
if ((IdPath[ © ] = BaseDllMapResourceIdA( lpType )) == -1) { 
Status = STATUS_INVALID_PARAMETER; 
} 
else 
if ((IdPath[ 1 ] = BaseDllMapResourceIdA( lpName )) == -1) { 


Status = STATUS_INVALID_PARAMETER; 


Посмотрим в BaseDllMapResourceldA() в том же исходном файле: 


ULONG 
BaseDllMapResourceIdA( 
LPCSTR lpId 
) 
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{ 
NTSTATUS Status; 
ULONG Id; 
UNICODE STRING UnicodeString; 
ANSI STRING AnsiString; 
PWSTR s; 
try { 
if ((ULONG)lpId & LDR RESOURCE ID МАМЕ MASK) { 
if (xlpId == '#') { 
Status = RtlCharToInteger( 1рІа+1, 10, &Id ); 
if (!NT_SUCCESS( Status ) || Іа & LDR_RESOURCE ТО МАМЕ МАЅК2 
S) { 
if (NT_SUCCESS( Status )) { 
Status = STATUS_INVALID_PARAMETER; 
} 
BaseSetLastNTError( Status ); 
Id = (ULONG)-1; 
} 
} 
else { 
RtlInitAnsiString( &AnsiString, lpId ); 
Status = RtlAnsiStringToUnicodeString( &UnicodeString, 
&AnsiString, 
TRUE 
); 
if (!М№Т 50ССЕ55( Status )){ 
Ваѕебеїіаѕ1МТЕггог( Status ); 
Іа = (ULONG)-1; 
} 
е1ѕе { 
s = UnicodeString.Buffer; 
while (ж5 != UNICODE NULL) { 
*5 = RtlUpcaseUnicodeChar( *5 ); 
S++; 
} 
Id = (ULONG)UnicodeString.Buffer; 
} 
} 
} 
else { 
Id = (ULONG)LlpId; 
} 
} 
except (EXCEPTION EXECUTE HANDLER) { 
BaseSetLastNTError( GetExceptionCode() ); 
Id = (ULONG)-1; 
return Id; 
} 


К Ipld применяется операция “И” с LOR_RESOURCE Ір МАМЕ МАЅК. 
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Маску можно найти в public/sdk/inc/ntldr.h: 


#define LDR RESOURCE ID NAME MASK 0xFFFF0000 


Так что к /р!а применяется операция “И” с ОхЕЕЕЕОООО, и если присутствуют 
какие-либо биты за младшими 16 битами, исполняется первая часть ф-ции и 
(/рІа принимается за адрес строки). Иначе — вторая часть ф-ции (/р/а принима- 
ется за 16-битное значение). 


Этот же код можно найти и в Windows 7, в файле kernel32.dll: 


. text :0000000078D24510 ; 
int64 _ fastcall BaseDllMapResourceIdA(PCSZ SourceString) 
D 0000000078D24510 BaseDllMapResourceIdA proc near ; CODE XREF: 


indResourceExA+34 
Жай 0000090078094510 ; 


FindResourceExA+4B 
. text :0000000078D24510 


. text :0000000078D24510 var 38 = 

. text :0000000078D24510 var_30 = qword ptr -30h 

. text :0000000078D24510 var 28 = UNICODE STRING ptr -28h 

.1ехї:0000000078024510 DestinationString= _STRING ptr -18h 

. text :0000000078D24510 arg_8 = dword ptr 10h 

. text :0000000078D24510 

.text:0000000078D24510 ; FUNCTION CHUNK AT .text:0000000078D42FB4 SIZE 
жоу ВҮТЕЅ 


мог ptr -38h 


1:0000000078024510 
'16х1:0000909078024510 push rbx 
. text: 0000000078D24512 sub rsp, 50h 
.Техт:0000000078024516 стр rcx, 100001 
. text :0000000078D2451D jnb loc 78042ЕВ4 
. text : 0000000078D24523 mov [rsp+58h+var_38], rcx 
. text :0000000078D24528 jmp short $+2 


. text :0000000078D2452A ; 


. text : 000000007802452А 

.text:0000000078D2452A loc 7802452А: ; CODE XREF: 
BaseDllMapResourceIdA+18 

. text : 000000007802452А ; 
Ваѕер11МарВеѕоигсеІдА+1ЕАро 

. text : 0000000078D2452A jmp short $+2 

. text :0000000078D2452C ; 


. text : 0000000078D2452C 

.1ехї:000000007802452С loc 7802452С: ; 
CODE XREF: Ваѕер11МарВеѕоигсетадА:10ос 7802452А 

. text : 000000007802452С ; 
BaseDllMapResourceIdA+1EB74 


. text :0000000078D2452C mov rax, rcx 
. text :0000000078D2452F add rsp, 50h 
. text : 0000000078D24533 pop rbx 

. text :0000000078D24534 retn 
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. text :0000000078D24534 ; 


. text : 0000000078D24535 align 20h 
. text :0000000078D24535 BaseDllMapResourceIdA endp 


. text :0000000078D42FB4 loc 78D42FB4: ; CODE XREF: 
BaseDllMapResourceIdA+D 

. text: 0000000078D42FB4 cmp byte ptr [rcx], '#' 

. text : 0000000078D42FB7 jnz short loc 78043005 

. text: 0000000078D42FB9 inc rcx 

. text : 0000000078р42ЕВС lea r8, [rsp+58h+arg_8] 

. text :0000000078D42FC1 mov edx, ОАһ 

. text : 0000000078D42FC6 call cs: imp _RtlCharToInteger 

. text: 0000000078D42FCC mov ecx, [rsp+58h+arg_8] 

. text : 0000000078D42FD0 mov [rsp+58h+var_38], rcx 

. text : 0000000078р42Е05 test eax, eax 

. text : 0000000078D42FD7 js short loc 78р42ҒЕ6б 

. text : 0000000078D42FD9 test rcx, OFFFFFFFFFFFFO000h 

. text :0000000078D42FE0 jz loc 7802452А 


Если значение больше чем 0x10000, происходит переход B то место, где oôpa- 
батывается строка. Иначе, входное значение /р/а возвращается как есть. Мас- 
ка ОхЕЕЕЕОООО здесь больше не используется, т.к., это все же 64-битный код, 
но всё-таки, маска ОхЕЕЕЕЕЕЕЕЕЕЕЕОООО могла бы здесь использоваться. 


Внимательный читатель может спросить, что если адрес входной строки будет 
ниже 0х10000? Этот код полагается на тот факт, что в Windows нет ничего по 
адресам ниже 0х10000, по крайней мере, в Win32. 


Raymond Chen пишет об этом: 


How does МАКЕІМТВЕЅООАСЕ work? It just stashes the integer іп 
the bottom 16 bits of a pointer, leaving the upper bits zero. This relies 
on the convention that the first 64KB of address space is never mapped 
to valid memory, a convention that is enforced starting in Windows 7. 


Коротко говоря, это грязный хак, и наверное не стоит его использовать, если 
только нет большой необходимости. Вероятно, аргумент ф-ции FindResource() 
в прошлом имел тип SHORT, а потом в Microsoft добавили возможность переда- 
вать здесь и строки, но старый код также нужно было поддерживать. 


Вот мой короткий очищенный пример: 


#include <stdio.h> 
#include <stdint.h> 


void f(char* а) 


{ 
if (((uint64_t)a)>0x10000) 
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printf ("Pointer to string has been passed: %5\п", а); 
else 
printf ("16-bit value has been passed: %d\n", (uint64 t)a); 
}; 
int main() 
{ 
f("Hello!"); // pass string 
f((char*)1234); // pass 16-bit value 
}; 
Работает! 


Издевательство над указателями в ядре Linux 


Как было упомянуто среди комментариев Ha Hacker News, в ядре Linux также 
есть что-то подобное. 


Например, эта ф-ция может возвращать и код ошибки и указатель: 


struct КегпР5_поде жКегп#ѕ сгеа+е 11пК(5%гисф Кегп#ѕ пое жрагеп+, 
const char жпапе, 
struct kernfs_node *target) 
{ 
struct kernfs_node *Кп; 
int error; 
kn = kernfs_new _ node(parent, name, 5 _ IFLNK|S_IRWXUGO, KERNFS LINK); 
if (!kn) 
return ERR_PTR(-ENOMEM) ; 
if (kernfs_ns_enabled(parent)) 
Кп->п5 = target—>ns; 
kn->symlink.target_kn = target; 
kernfs_get(target); /ж ref owned by symlink */ 
error = kernfs_add_one(kn); 
if (!error) 
return kn; 
kernfs_put(kn); 
return ERR_PTR(error); 
} 


(https://github.com/torvalds/linux/blob/fceef393a538134f03b778c5d2519e670269342f/ 
fs/kernfs/symlink.c#L25 ) 


ERR_PTR это макрос, приводящий целочисленное к указателю: 


static inline void ж _ мизф сһеск ЕВА РТК(Топд error) 


{ 
} 


return (void ж) error; 
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(https://github.com/torvalds/linux/blob/61d0b5a4b2777dcf5daef245e212b3c1fa8091ca/ 
tools/virtio/linux/err.h) 


Этот же заголовочный файл имеет также макрос, который МОЖНО ИСПОЛЬЗО- 
вать, чтобы отличить код ошибки от указателя: 


#аеҒіпе 15 ЕВК МАШОЕ (х) unlikely((x) >= (unsigned Т1опд)-МАХ_ ЕВАМО ) 


Это означает, коды ошибок это “указатели” очень близкие к -1, и, будем наде- 
яться, в памяти ядра ничего не находится по адресам вроде ОхЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ, 
OxFFFFFFFFFFFFFFFE, ОХРЕРЕРЕРЕРЕРЕРЕРО, и т. д. 


Намного более популярный способ это возвращать NULL в случае ошибки и ne- 
редавать код ошибки через дополнительный аргумент. Авторы ядра Linux так 
не делают, но все кто пользуется этими ф-циями, должны помнить, что возвра- 
щаемый указатель должен быть вначале проверен при помощи /5 ЕАА МАЈЕ 
перед разыменовыванием. 


Например: 


fman->cam_offset = Ғтап тигат а11ос(Ттап->тигат, Ттап->сат_$17е); 
if (15 ЕКА МАГЕ ( Ғтап->сат offset)) { 
Че\м_егг (Ттап->4е\у, "%5: МОВАМ alloc for ОМА САМ Ғаі1ед\п", 
__Типс_); 
return —ЕМОМЕМ; 


(https://github.com/torvalds/linux/blob/aa00edc1287a693eadc7bc67a3d73555qd969b35d/ 
drivers/net/ethernet/freescale/fman/fman.c#L826 ) 


Издевательство над указателями в пользовательской среде UNIX 


Ф-ция ттар() возвращает -1 в случае ошибки (или МАР РАТЕЕВ, что равно -1). 
Некоторые люди говорят, что в некоторых случаях, ттар() может подключить 
память по нулевому адресу, так что использовать 0 или NULL как код ошибки 
нельзя. 


3.21.4. Нулевые указатели 
Ошибка “Null pointer assignment” во времена MS-DOS 


Читатели постарше могут помнить очень странную ошибку эпохи MS-DOS: “Null 
pointer assignment”. Что она означает? 


В *МХ и Windows нельзя записывать в память по нулевому адресу, но это было 
возможно в MS-DOS, из-за отсутствия защиты памяти как таковой. 


Так что я могу найти древний Turbo С++ 3.0 (позже он был переименован в 
С++) из начала 1990-х и попытаться скомпилировать это: 


#include <stdio.h> 


int main() 
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int *ptr=NULL; 
*рїг=1234; 
printf ("Now let's read at МУ \п"); 
printf ("%d\n", *ptr); 
}; 


Трудно поверить, но это работает, но с ошибкой при выходе 


Листинг 3.122: Древний Тигро С++ 3.0 


С: МТСЗО\ВІМ\ 1 

Now let's read at NULL 
1234 

Null pointer assignment 


C: \TC30\BIN>_ 


Посмотрим внутри исходного кода СВТ компилятора Borland C++ 3.1, файл 


c0.asm: 


; _checknull() check for null pointer zapping copyright message 


; Check for null pointers before exit 


__ checknull PROC DIST 
PUBLIC __сһесКпи11 
IF LDATA EQ false 
IFNDEF _ ТТМУ _ 
push si 
push di 
mov es, cs:DGROUP@G 
xor ax, ax 
mov si, ax 
mov cx, lgth_CopyRight 
ComputeChecksum label near 
add al, еѕ: [51] 
айс аһ, 0 
іпс 51 
1оор СотритеСһескѕит 
sub ax, CheckSum 
jz @@5итокК 
mov сх, lgth_NullCheck 
mov dx, offset DGROUP: NullCheck 
call ErrorDisplay 
@@биток: рор 91 
рор si 
ENDIF 
ENDIF 
_DATA SEGMENT 
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; Magic symbol used Бу the debug info to locate Тһе data segment 
public DATASEG@ 
DATASEG@ label byte 


; The CopyRight string must NOT be moved or changed without 
; changing the null pointer check logic 


CopyRight db 4 dup(0) 
db 'Borland C++ – Copyright 1991 Borland Тпї1.',0 
lgth_CopyRight equ $ – CopyRight 
IF LDATA EQ false 
IFNDEF _ ТТМУ _ 
CheckSum equ 00D5Ch 
NullCheck db 'Null pointer assignment', 13, 10 
lgth_NullCheck equ $ – NullCheck 
ENDIF 
ENDIF 


Модель памяти B MS-DOS крайне странная (10.7 (стр. 1254)), и, вероятно, её и 
не нужно изучать, если только вы не фанат ретрокомпьютинга или ретрогей- 
минга. Одну только вещь можно держать в памяти, это то, что сегмент памяти 
(включая сегмент данных) в MS-DOS это место где хранится код или данные, 
но в отличие от “серьезных” ОС, он начинается с нулевого адреса. 


И в Borland C++ СВТ, сегмент данных начинается с 4-х нулевых байт и строки 
копирайта “Borland C++ - Copyright 1991 Borland Intl.”. Целостность 4-х нуле- 
вых байт и текстовой строки проверяется в конце, и если что-то нарушено, 
выводится сообщение об ошибке. 


Но зачем? Запись по нулевому указателю это распространенная ошибка в Си/- 
Си++, и если вы делаете это в *МХ или Windows, ваше приложение упадет. В 
М5-005 нет защиты памяти, так что это приходится проверять в СКТ во время 
выхода, пост-фактум. Если вы видите это сообщение, значит ваша программа 
в каком-то месте что-то записала по нулевому адресу. 


Наша программа это сделала. И вот почему число 1234 было прочитано кор- 
ректно: потому что оно было записано на месте первых 4-х байт. Контрольная 
сумма во время выхода неверна (потому что наше число там осталось), так что 
сообщение было выведено. 


Прав ли я? Я переписал программу для проверки моих предположений: 


#include <stdio.h> 


int main() 
{ 
int *ptr=NULL; 
*рїг=1234; 
printf ("Now let's read at МУ \п"); 
printf ("%d\n", *ptr); 
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*рїг=0; // psst, cover our tracks! 


}; 


Программа исполняется без ошибки во время выхода. 


Хотя и метод предупреждать о записи по нулевому указателю имел смысл в 
MS-DOS, вероятно, это всё может использоваться и сегодня, на маломощных 
МСУ без защиты памяти и/или ММИ®. 


Почему кому-то может понадобиться писать по нулевому адресу? 


Но почему трезвомыслящему программисту может понадобиться записывать 
что-то по нулевому адресу? Это может быть сделано случайно, например, ука- 
затель должен быть инициализирован и указывать на только что выделенный 
блок в памяти, а затем должен быть передан в какую-то ф-цию, возвращаю- 
щую данные через указатель. 


int »ptr=NULL; 
. мы забыли выделить память и инициализировать ptr 


strcpy (ptr, buf); // strcpy() завершает работу молча, потому что в MS-DOS 
нет защиты памяти 


И даже хуже: 


int жрег=та\1ос (1000); 


. мы забыли проверить, действительно ли память была выделена: это же М5-/ 
У DOS и у тогдашних компьютеров было мало памяти, 
и нехватка памяти была обычной ситуацией. 
если malloc() вернул NULL, тогда ptr будет тоже NULL. 


strcpy (ptr, buf); // strcpy() завершает работу молча, потому что в MS-DOS 
нет защиты памяти 


Писать по нулевому адресу намеренно 


Вот пример из ата!ос“", портабельный (переносимый) способ сгенерировать 
соге dump, в отсутствии иных способов: 


3.4 Generating а Core File оп Errors 


If the `error-abort' debug token has been enabled, when the library 
detects any problems with the heap memory, it will immediately attempt 
to dump a core file. »Note Debug Tokens::. Core files are a complete 
copy of the program and it's state and can be used by a debugger to see 
specifically what is going on when the error occurred. жМофе Using 
With a Debugger::. By default, the low, medium, and high arguments to 


40 Memory Management Unit 
4lhttp://dmalloc.com/ 
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the library utility enable the `‘еггог-арогі' token. You сап disable 
this feature by entering `dmalloc -m еггог-арогі' (-m for minus) to 
remove the `error-abort' token and your program will just log errors 
and continue. You can also use the `еггог-дитр' token which tries to 
dump core when it sees an error but still continue running. Note 
Debug Tokens::. 


When a program dumps core, the system writes the program and all of 
its memory to a file on disk usually named `core'. If your program is 
called `foo' then your system may dump core as `foo.core'. If you are 
not getting a `core' file, make sure that your program has not changed 
to а new directory meaning that it may have written the core file іп а 
different location. Also insure that your program has write privileges 
over the directory that it is in otherwise it will not be able to dump 
a core file. Core dumps are often security problems since they contain 
all program memory so systems often block their being produced. You 
will want to check your user and system's core dump size ulimit 
settings. 


The library by default uses the `abort' function to dump core which 
may or may not work depending on your operating system. If the 
following program does not dump core then this may be the problem. See 
`KILL_PROCESS' definition in `settings.dist'. 


main() 


{ 
} 


abort(); 


If `abort' does work then you may want to try the following setting 
in `settings.dist'. This code tries to generate a segmentation fault 
by dereferencing a `NULL' pointer. 


#define KILL_PROCESS { int ж іпі р = OL; ж іпї р = 1; } 


NULL в Си/Си++ 


NULL в С/С++ это просто макрос, который часто определяют так: 


#define NULL ((\019*)0) 


( libio.h file ) 


void* это тип данных, отражающий тот факт, что это указатель, HO на значение 
неизвестного типа (void). 


NULL обычно используется чтобы показать отсутствие объекта. Например, у 
вас есть односвязный список, и каждый узел имеет значение (или указатель 
на значение) и указатель вроде next. Чтобы показать, что следующего узла 
нет, в поле next записывается 0. (Остальные решения просто хуже.) Вероят- 
но, вы можете использовать какую-то крайне экзотическую среду, где можно 
выделить память по нулевому адресу. Как вы будете показывать отсутствие 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


779 
следующего узла? Какой-нибудь magic number? Может быть -1? Или дополни- 
тельным битом? 


В Википедии мы можем найти это: 


Іп fact, quite contrary to the zero page's original preferential use, 
some modern operating systems such as FreeBSD, Linux and Microsoft 
Windows[2] actually make the zero page inaccessible to trap uses of 
NULL pointers. 


( https://en.wikipedia.org/wiki/Zero_page ) 


Нулевой указатель на ф-цию 


Можно вызывать ф-ции по их адресу. Например, я компилирую это при помощи 
MSVC 2010 и запускаю в Windows 7: 


#include <windows .h> 
#include <stdio.h> 


int main() 


{ 
}; 


printf ("0х%х\п", &МеѕѕадеВохА) ; 


Результат 0х75 78Геае, и он не меняется и после того, как я запустил это несколь- 
ко раз, потому что user32.dll (где находится ф-ция МеѕѕадеВохА) всегда загру- 
жается по одному и тому же адресу. И потому что А51А^? не включено (тогда 
результат был бы всё время разным). 


Вызовем ф-цию МеѕѕадеВохА() по адресу: 


#include <windows .h> 
#include <stdio.h> 


typedef int (»msgboxtype)(HWND hwnd, LPCTSTR 1рТехї, LPCTSTR lpCaption, Zz 
S UINT uType); 


int main() 


{ 
msgboxtype msgboxaddr=0x7578feae; 


// заставить загрузиться DLL в память процесса, 

// T.K., наш код не использует никакую ф-цию из иѕег32.а11, 
// и DLL не импортируется 

LoadLibrary ("и5ег32. 411"); 


msgboxaddr (МИРЕ, "Hello, мога! ", "hello", МВ ОК); 
}; 


42 Address Space Layout Randomization 
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Странно выглядит, но работает в Windows 7 x86. 


Это часто используется в шелл-кодах, потому что оттуда трудно вызывать ф- 
ции из ОШ по их именам. А ASLR это контрмера. 


И вот теперь что по-настоящему странно выглядит, некоторые программисты 
на Си для встраиваемых (embedded) систем, могут быть знакомы с таким KO- 
дом: 


int геѕеї() 

{ 
void (жҒоо) (\014) = 0; 
Ғоо(); 

}; 


Кому понадобится вызывать ф-цию по адресу 0? Это портабельный способ пе- 
рейти на нулевой адрес. Множество маломощных микроконтроллеров не име- 
ют защиты памяти или MMU, и после сброса, они просто начинают исполнять 
код по нулевому адресу, где может быть записан инициализирующий код. Так 
что переход по нулевому адресу это способ сброса. Можно использовать и 
іпіпе-ассемблер, но если это неудобно, тогда можно использовать этот NOP- 
табельный метод. 


Это даже корректно компилируется при помощи ССС 4.8.4 на Linux x64: 


reset: 
sub rsp, 8 
xor eax, eax 
call rax 
add rsp, 8 
ret 


То обстоятельство, что указатель стека сдвинут, это не проблема: инициали- 
зирующий код в микроконтроллерах обычно полностью игнорирует состояние 
регистров и памяти и загружает всё “с чистого листа”. 


И конечно, этот код упадет в *МІХ или Windows, из-за защиты памяти, и даже 
если бы её не было, по нулевому адресу нет никакого кода. 


В ССС даже есть нестандартное расширение, позволяющее перейти по опре- 
деленному адресу, вместо того чтобы вызывать ф-цию: Вр: / /дсс. опи. ога/ 
onlinedocs/gcc/Labels-as-Values.html. 


3.21.5. Массив как аргумент функции 


Кто-то может спросить, какая разница между объявлением аргумента ф-ции 
как массива и как указателя? 


Как видно, разницы вообще нет: 


void мгіте ѕотећіпод1(іпї а[16]) 


{ 
}; 


а[5]=0; 
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void мгіте ѕотећіпд2 (іпї жа) 


а[5]=0; 
}; 
int f() 
{ 
int a[16]; 
write_something1(a); 
write_something2(a); 
}; 


Оптимизирующий ССС 4.8.4: 


мгіте ѕотеһіпд1: 
mov DWORD PTR [rdi+20], 0 
ret 


write_something2: 
mov DWORD PTR [rdi+20], 0 
ret 


Но вы можете объявлять массив вместо указателя для самодокументации, €C- 
ли размер массива известен заранее и определен. И может быть, какой-нибудь 
инструмент для статического анализа выявит возможное переполнение буфе- 
ра. Или такие инструменты есть уже сегодня? 


Некоторые люди, включая Линуса Торвальдса, критикуют эту возможность Си/- 
Си++: https://lkml .org/lkml/2015/9/3/428. 


В стандарте C99 имеется также ключевое слово Static [ISO/IEC 9899:TC3 (C C99 
standard), (2007) 6.7.5.3]: 


If the keyword static also appears within the [ and ] of the array 
type derivation, then for each call to the function, the value of 
the corresponding actual argument shall provide access to the first 
element of an array with at least as many elements as specified by 
the size expression. 


3.21.6. Указатель на функцию 


Имя ф-ции в Си/Си++ без скобок, как “printf” это указатель на ф-цию типа void 
(*) (0). Попробуем прочитать содержимое ф-ции и пропатчить его: 


#include <тетогу.һ> 
#include <stdio.h> 


void print_something () 


{ 
printf ("ме are in %s()\n", _ FUNCTION _); 
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}; 
int main() 
{ 
print_something(); 
printf ("first 3 bytes: %х %х %х...\п", 
ж(ипѕідпеа char*)print_something, 
ж((ипѕідпеа char*)print_something+1), 
x( (unsigned сһагж)ргіпі ѕотеһіпд+2)); 
ж(ипѕідпеа char*)print_something=0xC3; // RET's opcode 
printf ("going to call patched print _something():\n"); 
print_something(); 
printf ("it must exit at this point\n"); 
}; 


При запуске видно что первые 3 байта ф-ции это 55 89 e5. Действительно, 
это опкоды инструкций PUSH ЕВР и MOV ЕВР, ESP (это опкоды x86). Но потом 
процесс падает, потому что секция text доступна только для чтения. 


Мы можем перекомпилировать наш пример и сделать так, чтобы секция text 
была доступна для записи “3: 


gcc —-static -g -Wl,--omagic -o example ехатр\е.с 


Это работает! 


ме аге іп print_something() 

first 3 bytes: 55 89 e5... 

going to call patched print_something(): 
it must exit at this point 


3.21.7. Указатель на функцию: защита от копирования 


Взломщик может найти ф-цию, проверяющую защиту и возвращать {гие или 
false. Он(а) может вписать там XOR ЕАХ,ЕАХ / RETN или MOV EAX, 1 / RETN. 


Может ли проверить целостность ф-ции? Оказывается, сделать это легко. 


Судя по објаитр, первые 3 байта ф-ции check ргофес*1оп() это 0x55 0х89 ОхЕ5 
(учитывая, что это неоптимизирующий ССС): 


#include <stdlib.h> 
#include <stdio.h> 


int check рго+ес+іоп() 
{ 
// do something 
return 0; 
// or return 1; 


43http://stackoverflow.com/questions/27581279/make-text-segment-writable-elf 
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}; 
int main() 
{ 
if (check_protection()==0) 
{ 
printf ("no protection installed\n"); 
exit(0); 
}; 
// ...апа then, at some мегу important point... 
if (ж(((чпѕідпеа сһагж) сһеск protection)+0) != 0x55) 
{ 
printf ("1st byte has been altered\n"); 
// do something mean, add watermark, etc 
}; 
if (ж(((ипѕідпеа сһагж) сһеск protection)+1) != 0x89) 
{ 
printf ("2nd byte has been altered\n"); 
// do something mean, add watermark, etc 
}; 
if (ж(((ипѕідпеа сһагж) сһеск рготес+іоп) +2) != 0хе5) 
{ 
printf ("3rd byte has been а1+егед\п" ); 
// do something mean, add watermark, etc 
}; 
}; 
00000544 <сһеск ргоїесїіоп»>: 
54а: 55 push %ерр 
54е: 89 е5 mov %esp,%ebp 
550: e8 b7 00 00 00 call бөс < x86.get_pc_thunk.ax> 
555: 05 7f 1а 00 00 ааа $0х1а7#, %еах 
55а: b8 00 00 00 00 mov $0х0 ,%eax 
55f: 5d pop %ebp 
560: c3 ret 


Если кто-то пропатчит начало ф-ции check_protection(), ваша программа mo- 
жет совершить что-то подлое, например, внезапно закончить работу. Чтобы 
разобраться с таким трюком, взломщик может установить брякпоинт на чте- 
ние памяти, по адресу начала ф-ции. (В їгасег-е для этого есть опция ВРМХ.) 


3.21.8. Указатель на ф-цию: частая ошибка (или опечатка) 


Печально известная ошибка/опечатка: 


int ехрігеа() 


{ 

// check license key, current date/time, etc 
}; 
int main() 
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{ 
if (expired) // must Бе ехрігеа() here 
{ 
print ("expired\n"); 
exit(0); 
} 
else 
{ 
// do something 
}; 
}; 


Т.к. имя ф-ции само по себе трактуется как указатель на ф-цию, или её адрес, 
выражение і? (Ғипс+іоп пате) работает как 11 (гие). 


К сожалению, компилятор с Си/Си++не выдает предупреждение об этом. 


3.21.9. Указатель как идентификатор объекта 


В ассемблере и Си нет возможностей ООП, но там вполне можно писать код в 
стиле ООП (просто относитесь к структуре, как к объекту). 


Интересно что, иногда, указатель на объект (или его адрес) называется иден- 
тификатором (в смысле сокрытия данных/инкапсуляции). 


Например, LoadLibrary(), судя по М$ОМ““, возвращает “handle” модуля “?. 3a- 
тем вы передаете этот “handle” в другую ф-цию вроде GetProcAddress(). Но 
на самом деле, LoadLibrary() возвращает указатель на ОШ-файл загруженный 
(mapped) в памяти “46. Вы можете прочитать два байта по адресу возвращен- 
ному Гоаацбгагу(), и это будет “MZ” (первые два байта любого файла типа 
.ЕХЕ/.ОШ в Windows). 


Очевидно, Microsoft “скрывает” этот факт для обеспечения лучшей совмести- 
мости в будущем. Также, типы данных HMODULE и НІМЅТАМ№СЕ имели другой 
смысл в 16-битной Windows. 


Возможно, это причина, почему ргіпї#() имеет модификатор “%р”, который 
используется для вывода указателей (32-битные целочисленные на 32-битных 
архитектурах, 64-битные на 64-битных, и т. д.) в шестнадцатеричной форме. 
Адрес структуры сохраненный в отладочном протоколе может помочь в поис- 
ках такого же в том же протоколе. 


Вот например из исходного кода SQLite: 


struct Pager { 
sqlite3_vfs *pVfs; /* 05 functions to use for IO */ 


44 Microsoft Developer Network 
45https://msdn.microsoft.com/ru- ru/library/windows/desktop/ms684175 (v=vs .85).aspx 
46https://blogs.msdn.microsoft.com/oldnewthing/20041025 - 00/?р=37483 
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u8 exclusiveMode; /ж Boolean. True if locking_mode==EXCLUSIVE 2 
> */ 

u8 јоигпа1Моде; /* Опе of the PAGER JOURNALMODE ж values */ 

u8 useJournal; /* Use a rollback journal on this file */ 

u8 побупс; /ж Do not sync the journal if true */ 


static int pagerLockDb(Pager жрРадег, int eLock){ 
int гс = SQLITE_OK; 


assert( eLock==SHARED_LOCK || eLock==RESERVED_LOCK || еіоск== 2 
S EXCLUSIVE_LOCK ); 
if( pPager->eLock<eLock || pPager->eLock==UNKNOWN_LOCK ){ 
rc = sqlite30sLock(pPager->fd, eLock); 
if( rc==SQLITE_OK && (pPager->eLock!=UNKNOWN_LOCK | [еіоск==,2 
S EXCLUSIVE LOCK) ){ 
pPager->eLock = (u8)eLock; 
ТОТВАСЕ ( ("LOCK %р %d\n", рРадег, eLock)) 
} 
} 


return гс; 


PAGER_INCR(sqlite3 pager _readdb_count); 
PAGER_INCR(pPager->nRead) ; 
ТОТВАСЕ ( ("РСІМ %р %d\n", pPager, pgno)); 
РАСЕВТВАСЕ ( ("FETCH %d раде %4 һаѕһ (%08х )\п", 

РАСЕВТЬ (рРадег), рдпо, радег радеһаѕһ(рр9) )); 


3.22. Оптимизации циклов 


3.22.1. Странная оптимизация циклов 


Это самая простая (из всех возможных) реализация тетсру(): 


void memcpy (unsigned char» dst, unsigned char» src, size t cnt) 
{ 
size t i; 
for (i=0; i<cnt; i++) 
dst[i]=src[i]; 
}; 


Как минимум MSVC 6.0 из конца 90-х вплоть до MSVC 2013 может выдавать вот 
такой странный код (этот листинг создан MSVC 2013 x86): 


[451$ = 8 ; 51е = 4 
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_5гс$ = 12 ; 5176 = 4 
_спї$ = 16 ; 51те = 4 
_метсру PROC 
mov edx, DWORD PTR _cnt$[esp-4] 
test edx, edx 
je SHORT $LN1@f 
mov eax, DWORD PTR _dst$[esp-4] 
push esi 
mov esi, DWORD PTR _5гс$[езр] 
sub esi, eax 
; ESI=src-dst, T.e., разница указателей 
$180: 
тоу cl, BYTE РТА [еѕі+еах] ; загрузить байт на "еѕі+аӣѕї" или на 
"src-dst+dst" в начале, или просто на "src" 
lea eax, DWORD PTR [eax+1] ; dst++ 
mov BYTE РТВ [еах-1], cl ; сохранить байт Ha "(dst++)--", или 
просто на "dst" в начале 
дес edx ; декремент счетчика, пока не закончим 
јпе SHORT $LL8@f 
pop esi 
$LN1@f : 
ret 0 


_метсру ЕМОР 


Это всё странно, потому что как люди работают с двумя указателями? Они со- 
храняют два адреса в двух регистрах или двух ячейках памяти. Компилятор 
MSVC в данном случае сохраняет два указателя как один указатель (скользя- 
щий dst в EAX) и разницу между указателями src и dst (она остается неизмен- 
ной во время исполнения цикла, в ESI). (Кстати, это тот редкий случай, когда 
можно использовать тип ptrdiff_t.) Когда нужно загрузить байт из $гс, он 3a- 
гружается на diff + скользящий dst и сохраняет байт просто на скользящем 
dst. 


Должно быть это какой-то трюк для оптимизации. Но я переписал эту ф-цию 
так: 


_ 12 PROC 
mov edx, DWORD PTR _cnt$[esp-4] 
test edx, edx 
je SHORT $LN1@f 
mov eax, DWORD PTR _dst$[esp-4] 
push esi 
mov esi, DWORD PTR _5гс$[езр] 
; eax=dst; esi=src 

$LL8G@f : 
mov cl, BYTE PTR [esi+edx] 
mov BYTE PTR [eax+edx], cl 
dec edx 
jne SHORT $LL8@f 
pop esi 

$LN1@f : 
ret 0 

12 ЕМОР 
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...И она работает также быстро как и соптимизированная версия на моем Intel 
Xeon ЕЗ 1220 @ 3.10СН2. Может быть, эта оптимизация предназначалась для 


более старых х86-процессоров 90-х, т.к., этот трюк использует как минимум 
древний MS VC 6.0? 


Есть идеи? 


Нех-Вау 2.2 не распознает такие шаблонные фрагменты кода (будем надеят- 
ся, это временно?): 


void cdecl 11(сНаг ж*аѕї, char жѕгс, size t size) 


{ 
size t counter; // edx@1 
char *51191п9 45 ; // eax@2 
char tmp; // cl@3 
counter = Size; 
if ( size ) 
{ 
sliding_dst = dst; 
do 
{ 
tmp = (sliding_dst++)[src – dst]; // разница (src-dst) 
вычисляется один раз, перед телом цикла 
ж(511іаіпд 51 - 1) = tmp; 
—2соип*ег; 
} 
while ( counter ); 
} 
} 


Тем не менее, этот трюк часто используется в MSVC (и не только в самодельных 
ф-циях тетсру(), но также и во многих циклах, работающих с двумя или более 
массивами), так что для реверс-инжиниров стоит помнить об этом. 


3.22.2. Еще одна оптимизация циклов 


Если вы обрабатываете все элементы некоторого массива, который находится 
в глобальной памяти, компилятор может оптимизировать это. Например, вы- 
числяем сумму всех элементов массива из 128-и тков: 


#include <stdio.h> 


int a[128]; 

int sum of а() 

{ 
int rt=0; 
for (int i=0; i<128; i++) 

rt=rt+a[i]; 

return rt; 

}; 
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їпї та 


{ 


}; 


іп() 


// инициализация 


for (int 1=0; 1<128; i++) 


а[1]=1; 


// вычисляем сумму 


printf ("%а\п", sum of 


а()); 


Оптимизирующий ССС 5.3.1 (x86) может сделать так (IDA): 


.text:080484B0 sum о? а ргос пеаг 
. text : 08048480 mov edx, offset a 
. text : 080484B5 xor eax, eax 
. text : 080484B7 mov esi, esi 
. text : 080484B9 lea edi, [edi+0] 
. text : 080484C0 
.text:080484C0 loc 80484C0: ; CODE XREF: sum of а+1В 
. text :080484C0 add eax, [edx] 
. text : 080484C2 add edx, 4 
. text: 080484C5 cmp edx, offset 2 
> _ libc_start_main@@GLIBC_2_0 
. text : 080484CB jnz short loc 80484С0 
. text : 080484CD rep retn 
.text:080484CD sum of_a endp 
. text: 080484CD 
.bss :0804A040 public a 
.055:0804А040 а dd 80h dup(?) ; DATA XREF: main:loc 8048338 
. bss :0804A040 ; main+19 
.bss :0804A040 _ bss ends 
. bss :0804A040 
extern :0804A240 ; 
extern :0804A240 
extern :0804A240 ; Segment type: Externs 
extern:0804A240 ; extern 
extern :0804A240 extrn _libc_start_main@@GLIBC_2_0:near 
extern :0804A240 ; DATA XREF: main+25 
extern :0804A240 ; main+5D 
extern :0804A244 extrn _ printf сһкеесіІВС 2 3З 4: пеаг 
extern :0804A248 extrn _libc_start_main:near 
extern :08044A248 ; CODE XREF: libc start main 
extern :08044A248 ; DATA XREF: .got.plt:off_804A00C 
И что же такое libc start таіп@@сіІВс 2 0 Ha 0х080484С5? Это метка, Ha- 
ходящаяся сразу за концом массива а[]. Эта ф-ция может быть переписана 
так: 
int зим о? а м2() 
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{ 
int жїтр=а; 
int rt=0; 
do 
{ 
гї=гї+(*їтр); 
tmp++; 
} 
while (tmp<(a+128)); 
return rt; 
$; 


Первая версия имеет счетчик i, и адрес каждого элемента массива вычисляет- 
ся на каждой итерации. Вторая версия более оптимизирована: указатель на 
каждый элемент массива всегда готов, и продвигается на 4 байта вперед на 
каждой итерации. Как проверить, закончился ли цикл? Просто сравните указа- 
тель с адресом сразу за концом массива, который, как случилось в нашем слу- 
чае, это просто адрес импортируемой из Glibc 2.0 ф-ции  libc start_main(). 
Такой код иногда сбивает с толку, и это очень популярный оптимизационный 
трюк, поэтому я сделал этот пример. 


Моя вторая версия очень близка к тому, что сделал ССС, и когда я компилирую 
её, код почти такой как и в первой версии, но две первых инструкции поменены 
местами: 


. text :080484D0 public sum of_a v2 
.text:080484D0 sum of_a_v2 proc near 
. text: 080484D0 xor eax, eax 
. text: 080484D2 mov edx, offset a 
. text : 080484D7 mov esi, esi 
. text : 080484D9 lea edi, [edi+0] 
. text : 080484E0 
.text:080484E0 loc 80484Е0: ; CODE XREF: sum of a v2+1B 
. text : 080484E0 add eax, [edx] 
. text : 080484Е2 add edx, 4 
. text : 080484E5 cmp edx, offset 2 
ъ _ libc_start_main@@GLIBC_2_0 
. text : 080484EB jnz short loc 80484Е0 
. text : 080484ED rep retn 
.text:080484ED sum о? а у2 епар 


Надо сказать, эта оптимизация возможна если компилятор, во время компиля- 
ции, может рассчитать адрес за концом массива. Это случается если массив 
глобальный и его размер фиксирован. 


Хотя, если адрес массива не известен во время компиляции, но его размер 
фиксирован, адрес метки за концом массива можно вычислить в начале цикла. 
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3.23. Еще о структурах 


3.23.1. Иногда вместо массива можно использовать струк- 
туру в Си 


Арифметическое среднее 


#include <stdio.h> 


int mean(int жа, int len) 
{ 
int sum=0; 
for (int i=0; i<len; i++) 
sum=sum+a[i]; 
return sum/len; 


}; 


struct five_ints 
{ 
int а0; 
int al; 
int a2; 
int a3; 
int a4; 
}; 


int маіп() 
{ 
struct five_ints а; 
a.a0=123; 
а.а1=456; 
а.а2=789; 
а.а3=10; 
а.а4=100; 
printf ("%А\п", теап(&а, 5)); 
// test: 
https : //мм№.мо1 Ғгата1рһа. сот/1при*/ ?1=теап (123,456, 789, 10,100) 


Это работает: ф-ция теап() никогда не будет читать за концом структуры 
Пуе іпіѕ, потому что передано 5, означая, что только 5 целочисленных значе- 
ний будет прочитано. 


Сохраняем строку в структуре 


#include <stdio.h> 


struct five_chars 
{ 
char аб; 
char al; 
char a2; 
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char a3; 
char a4; 
} _attribute_ ((aligned (1),packed)); 


int main() 

{ 
struct five _ chars а; 
а.аб='һ'; 
а.а1='1'; 
а.а2='!'; 
а.а3='\п'; 
а.а4=0; 

printf (ба); // это печатает "hi!" 


}; 


Нужно использовать атрибут ((а!дпеа (1),раскеа)) потому что иначе, каждое 
поле структуры будет выровнено по 4-байтной или 8-байтной границе. 


Итог 


Это просто еще один пример, как структуры и массивы сохраняются в памя- 
ти. Вероятно, ни один программист в трезвом уме не будет делать так, как 
в этом примере, за исключением, может быть, какого-то очень специального 
хака. Или может быть в случае обфускации исходных текстов? 


3.23.2. Безразмерный массив в структуре Си 


В некоторых №міп32-структурах мы можем найти такие, где последнее поле 
определено как массив из одного элемента: 


typedef struct 5УМВОЕ ІМҒО { 
ULONG Size0fStruct; 
ULONG TypeIndex; 


ULONG MaxNameLen; 
TCHAR Name[1]; 
} SYMBOL INFO, жРЗУМВОЕ INFO; 


( https://msdn.microsoft.com/en-us/library/windows/desktop/ms680686 (v= 
vs.85).aspx) 


Это хак, в том смысле, что последнее поле это массив неизвестной длины, его 
размер будет вычислен во время выделения памяти под структуру. 


Вот почему: поле Мате может быть коротким, так зачем же тогда определять 
константу вроде МАХ_МАМЕ, которая может быть 128, 256, или даже больше? 


Почему вместо этого не использовать указатель? Но тогда придется выделять 
два блока: один под структуру и второй под строку. Это может быть медленнее 
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и может требовать больше затрат на память. Также, вам нужно разыменовы- 
вать указатель (т.е., читать адрес строки из структуры) — не очень большая 
проблема, но некоторые люди могут сказать вам, что это дополнительные рас- 
ходы. 


Это также известно как struct hack: http://c-faq.com/struct/structhack.html. 


Например: 


#include <stdio.h> 


struct st 
{ 
int a; 
int b; 
char 5[]; 
}; 
void f (struct st ж*5) 
{ 
printf ("%d %d %s\n", s->a, s->b, 5->5); 
// f() не может заменить $[] большей строкой - длина выделенного 
блока неизвестна на этом этапе 
int main() 
{ 


#define STRING "Hello!" 
struct st xs=malloc(sizeof(struct st)+strlen(STRING)+1); // включая 
терминирующий ноль. 
5->а=1; 
5->р=2; 
strcpy (5->5, STRING); 
f(s); 
}; 


Если коротко, это работает, потому что в Си нет проверок границ массивов. К 
любому массиву относятся так, будто он бесконечный. 


Проблема: после выделения, полный размер выделенного блока для структу- 
ры неизвестен (хотя известен менеджеру памяти), так что вы не можете заме- 
нить строку большей строкой. Но вы бы смогли делать это, если бы поле было 
определено как что-то вроде $[МАХ_ МАМЕ]. 


Другими словами, вы имеете структуру плюс массив (или строку) спаянных 
вместе в одном выделенном блоке памяти. Другая проблема еще в том, что вы 
не можете объявить два таких массива в одной структуре, или объявить еще 
одно поле после такого массива. 


Более старые компиляторы требуют объявить массив хотя бы с одним элемен- 
том: 5[1], более новые позволяют определять его как массив с переменной 
длиной: 5[]. В стандарте C99 это также называется flexible array member. 
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Читайте об этом больше в документации ССС”, в документации М$О№“8. 


Деннис Ритчи (один из создателей Си) называет этот трюк «unwarranted chumminess 
with the С implementation» (вероятно, подтверждая хакерскую природу трюка). 


Вам это может нравиться, или нет, вы можете использовать это или нет: но 
это еще одна демонстрация того, как структуры располагаются в памяти, вот 
почему я написал об этом. 


3.23.3. Версия структуры в Си 


Многие программисты под Windows видели это в MSDN: 


Size0fStruct 
The size of the structure, in bytes. This member must be set to sizeof(/7 
S SYMBOL _ INFO). 


( https://msdn.microsoft.com/en-us/library/windows/desktop/ms680686 (v= 
vs.85).aspx) 


Некоторые структуры вроде SYMBOL_INFO действительно начинаются с такого 
поля. Почему? Это что-то вроде версии структуры. 


Представьте, что у вас есть ф-ция, рисующая круги. Она берет один аргумент 
- указатель на структуру с двумя полями: Х, Ү и радиус. И затем цветные дис- 
плеи наводнили рынок, где-то в 80-х. И вы хотите добавить аргумент цвет в 
ф-цию. Но, скажем так, вы не можете добавить еще один аргумент в нее (мно- 
жество ПО используют ваше АР!“ и его нельзя перекомпилировать). И если 
какое-то старое ПО использует ваше АР! с цветным дисплеем, пусть ваша ф- 
ция рисует круг в цветах по умолчанию (черный и белый). 


Позже вы добавляете еще одну возможность: круг может быть закрашен, и 
МОЖНО выбирать тип заливки. 


Вот одно из решений проблемы: 


#include <stdio.h> 


struct ver1 


{ 
size t Size0fStruct; 
int соога X; 
int соога Y; 
int radius; 
}; 


struct мег2 
{ 
size t Size0fStruct; 
int соога X; 
int соога Y; 


47 https://gcc.gnu.org/onlinedocs/gcc/Zero-Length.html 
48https://msdn.microsoft.com/en-us/library/b6fae073.aspx 
49 Application Programming Interface 
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}; 


int radius; 
int color; 


struct ver3 


{ 


}; 


size t Size0fStruct; 

int соога X; 

int соога Y; 

int radius; 

int color; 

int fill brush_type; // 0 - не заливать круг 


void агам _ с1гс1е(5їгисї ver3 жѕ) // здесь используется самая последняя версия 


}; 


структуры 


// мы полагаем что в Size0fStruct всегда присутствуют поля соога X и 
соога Үү 

printf ("Собираемся рисовать круг на %4:%А\п", 5->соога X, $->/ 
„ соога Ү); 


if (s->Size0fStruct>=sizeof(int)*5) 
{ 
// это минимум ver2, поле цвета присутствует 
printf ("Собираемся установить цвет %0\п", 5->со1ог); 


} 


if (s->Size0fStruct>=sizeof(int)»6) 
{ 
// это минимум ver3, присутствует поле с типом заливки 
printf ("Мы собираемся залить его используя тип заливки %4\ / 
ъз n", s—->fill_brush_type); 
} 


// раннее ПО 
void са\\_а$_\ег1 () 


{ 


}; 


struct мегі 5; 
s.Size0fStruct=sizeof(s); 
s.coord_X=123; 

s.coord_Y=456; 

s.radius=10; 

printf ("жж %s()\n", _ FUNCTION); 
draw сігс1е (&5); 


// следующая версия 
void са11 аѕ мег2 () 


{ 


struct мег2 5; 
s.Size0fStruct=sizeof(s); 
s.coord_X=123; 
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5.соога Ү=456; 
s.radius=10; 
s.color=1; 
printf ("жж %s()\n", _ FUNCTION  ); 
draw сігс1е (&5); 
}; 


// самая поздняя, наиболее расширенная версия 

void са\\_а$_\ег3 () 

{ 
struct ver3 $; 

.Size0fStruct=sizeof(s); 

.coord_X=123; 

.coord_Y=456; 

. radius=10; 

.color=1; 

.fill_brush_type=3; 

printf ("жж %s()\n", _ РОМСТТОМ ); 

draw сігс1е (&5); 
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}; 


int та1п() 
{ 
са11_а5_\ег1(); 
call_as_ver2(); 
call _as_ver3(); 


}; 


Другими словами, поле SizeOfStruct берет на себя роль поля версия структу- 
ры. Это может быть перечисляемый тип (1, 2, 3, ит. д.), но установка поля 
SizeOfStruct равным sizeof(struct...), это лучше защищено от ошибок: в вызыва- 
емом коде мы просто пишем $.5/2е0 ис =$/2еоК...). 


В Си++ эта проблема решается наследованием (3.19.1 (стр. 697)). Просто рас- 
ширяете ваш базовый класс (назовем его Circle), и затем вам нужен Со/огеасСігсіе, 
а потом FilledColoredCircle, и так далее. Текущая версия объекта (или более 
точно, текущий тип) будет определяться при помощи ВТП в Си++. 


Так что если вы где-то в MSDN видите SizeOfStruct — вероятно, эта структура 
уже расширялась в прошлом, как минимум один раз. 


3.23.4. Файл с рекордами в игре «Block out» и примитивная 
сериализация 


Многие видеоигры имеют файл с рекордами, иногда называемый «Зал славы». 
Древняя игра «Block out»? (трехмерный тетрис из 1989) не исключение, вот 
что мы можем увидеть в конце: 


50http://www.bestoldgames .net/eng/old-games/blockout .php 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Рис. 3.4: Таблица рекордов 


Мы можем увидеть, что после того как мы всякий раз добавляем свое имя, этот 
файл меняется: ВЕ$СОВЕ.РАТ. 


% хха -g 1 ВЕ$СОВЕ. РАТ 


00000000: Оа 00 58 65 бе 69 61 2e 2e 2e 2e 2e 00 df 01 00 ..Хепла......... 
00000010: 00 30 33 24 32 37 24 32 30 31 38 00 50 61 75 бс .03-27-2018.Рац\ 
00000020: 2e 2e 2e 2e 2e 2e 00 61 01 00 00 30 33 24 32 37 ....... а...03-27 
00000030: 2d 32 30 31 38 00 4а 6f 68 бе 2e 2e 2e 2e 2e 2e -–2018.Јоһп...... 
00000040: 00 46 01 00 00 30 33 24 32 37 24 32 30 31 38 00 .Е...03-27-2018. 
00000050: 4а 61 64 65 73 2e 2e 2e 2e 2e 00 44 01 00 00 30 Јатеѕ...... 0...0 
00000060: 33 24 32 37 24 32 30 31 38 00 43 68 61 72 6с 69 3-27-2018.Сһаг11 
00000070: 65 2е 2е 2е 00 еа 00 00 00 30 33 24 32 37 24 32 е........ 03-27-2 
00000080: 30 31 38 00 4d 69 6b 65 2e 2e 2e 2e 2e 2e 00 5 018.М1Ке........ 
00000090: 00 00 00 30 33 24 32 37 24 32 30 31 38 00 50 68 ...03-27-2018.РН 
000000а0: 69 бс 2e 2e 2e 2e 2e 2e 00 ас 00 00 00 30 33 24 Ц........... 03- 
00000060: 32 37 24 32 30 31 38 00 4d 61 72 79 2e 2e 2e 2e 27-2018.Магу.... 
000000с0: 2e 2e 00 7b 00 00 00 30 33 24 32 37 24 32 30 31 ...{...03-27-201 
00000090: 38 00 54 6f ба 2e 2e 2e 2e 2e 2e 2e 00 77 00 00 8.Том........ W.. 
000000e0: 00 30 33 2d 32 37 2d 32 30 31 38 00 42 6f 62 2e .03-27-2018.Bob. 
000000f0: 2e 2e 2e 2e 2e 2e 00 77 00 00 00 30 33 2d 32 37 ....... w. . 03-27 
00000100: 2d 32 30 31 38 00 -2018. 


Все записи и так хорошо видны. Самый первый байт, вероятно, это количество 
записей. Второй это 0, и, на самом деле, число записей может быть 16-битным 
значением, которое простирается на 2 байта. 


После имени «Xenia» мы видим байты OxDF и 0x01. У Xenia 479 очков, и это 
именно 0х10Е в шестнадцатеричной системе. Так что значение рекорда, Bepo- 
ятно, 16-битное целочисленное, а может и 32-битное: после каждого по два 
нулевых байта. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Подумаем теперь о том факте, что и элементы массива, и элементы структуры 
всегда располагаются в памяти друг к другу впритык. Это позволяет там 
записывать весь массив/структуру в файл используя простую ф-цию write() или 
fwrite(), а затем восстанавливать его используя геаа() или ѓеаа(), настолько 
всё просто. Это то, что сейчас называется сериализацией. 


Чтение 


Напишем программу на Си для чтения файла рекордов: 


#include <assert.h> 
#include <stdio.h> 
#include <stdint.h> 
#include <string.h> 


struct entry 
{ 
char name[11]; // включая терминирующий ноль 
џіпі32 Її score; 
char ааїе [11]; // включая терминирующий ноль 
} __аїїгірие ((а1ідпеа (1),раскеа)); 


struct һідһѕсоге file 
{ 
uint8 t count; 
uint8 t unknown; 
struct entry entries[10]; 
} _attribute_ ((aligned (1), packed)); 


struct highscore file file; 


int main(int argc, char» argv[]) 


{ 
FILEx f=fopen(argv[1], "rb"); 
assert (f!=NULL); 
size t got=fread(&file, 1, sizeof(struct highscore file), f); 
assert (got==sizeof(struct highscore file)); 
fclose(f); 
for (int i=0; i<file.count; i++) 
{ 
printf ("пате=%5 score=%d date=%s\n", 
file.entries[i].name, 
file.entries[i].score, 
file.entries[i].date); 
Е 
}; 


Нужно добавить атрибут ССС ((а//дпеа (1),раскеа)), чтобы все поля структуры 
были упакованы по 1-байтной границе. 


Конечно, это работает: 


пате=Хепта..... 5соге=479 дафе=03-27-2018 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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пате=Раи\...... 5соге=353 дафе=03-27-2018 
пате=Јоһћп...... 5соге=326 даіе=03-27-2018 
пате=Јатеѕ..... 5соге=324 date=03-27-2018 
пате=Сһаг1іе... 5соге=234 йаїе=03-27-2018 
пате=М1Ке...... 5соге=181 дафе=03-27-2018 
пате=Рһі1...... 5соге=172 даіе=03-27-2018 
пате=Ма гу... ... 5соге=123 date=03-27-2018 
пате=Тот....... 5соге=119 даіе=03-27-2018 
пате=Вор. ...... 5соге=119 дафе=03-27-2018 


(Нужно добавить, что каждое имя дополнено точками, и на экране, и в файле, 
вероятно, с эстетическими целями.) 
Запись 


Посмотрим, правы ли мы насчет длины значения очков. Действительно ли там 
32 бита? 


int main(int argc, сһагж агду[]) 


{ 
FILEx f=fopen(argv[1], "rb"); 
assert (f!=NULL); 
size t got=fread(&file, 1, sizeof(struct highscore file), f); 
assert (got==sizeof(struct highscore file)); 
fclose(f); 
strcpy (file.entries[1].name, "Ма11огу..."); 
file.entries[1] .score=12345678; 
strcpy (file.entries[1].date, "08-12-2016"); 
f=fopen(argv[1], "wb"); 
assert (f!=NULL); 
got=fwrite(&file, 1, sizeof(struct highscore file), f); 
assert (got==sizeof(struct highscore file)); 
fclose(f); 

}; 


Запустим Blockout: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Рис. 3.5: Таблица рекордов 


Первые две цифры (1 или 2) пропали: 12345678 стало 345678. Вероятно, это 
проблемы с форматированием... но число почти корректно. Заменяю на 999999 
и запускаю снова: 


Рис. 3.6: Таблица рекордов 


Теперь всё верно. Да, значение очков это 32-битное целочисленное. 


Это сериализация? 


...почти. Сериализация как эта очень популярна в научном и инженерном ПО, 
где скорость намного важнее чем конвертирование в XML”! или |5О№? и назад. 


5lExtensible Markup Language 
52JavaScript Object Notation 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Одна очевидная вещь это то что вы, разумеется, не можете сериализировать 
указатели, потому что каждый раз, когда вы загружаете файл в память, все 
структуры могут быть размещены в других местах. 


Но: если вы работаете на каком-нибудь маломощном MCU с простой ОС на нем, 
и все ваши структуры всегда расположены в тех же местах в памяти, тогда, 
вы можете сохранять и восстанавливать указатели. 


Случайный шум 


Когда я готовил этот пример, я запускал «Block out» много раз и немного играл, 
чтобы заполнить таблицу рекордов случайными именами. 


И когда было только 3 записи в файле, я увидел это: 


00000000: 03 00 54 6f ба 61 73 2e 2e 2e 2e 2e 00 da 2а 00 ..Тотаѕ....... ж, 
00000010: 00 30 38 24 31 32 24 32 30 31 36 00 43 68 61 72 .08-12-2016.Сһаг 
00000020: бс 69 65 2e 2e 2e 00 8b 1е 00 00 30 38 24 31 32 1іе........ 08-12 
00000030: 24 32 30 31 36 00 4a 6f 68 бе 2e 2e 2e 2e 2e 2e -–2016.Јоһп...... 
00000040: 00 80 00 00 00 30 38 2а 31 32 24 32 30 31 36 00 [ ..... 08-12-2016. 
00000050: 00 00 57 c8 a2 01 06 01 ba f9 47 c7 05 00 f8 4f ..\....... 6....0 
00000060: 06 01 06 01 аб 32 00 00 00 00 00 00 00 00 00 00 ..... ЕТЕ 


00000070: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 
00000080: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 
00000090: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 
000000а0: 00 00 00 00 00 00 00 00 00 00 93 сб a2 01 46 72 .............. Fr 
000000b0: 8c f9 f6 c5 05 00 f8 4f 00 02 06 01 аб 32 06 01 ....... 0..... 2..3 
000000с0: 00 00 98 f9 f2 с0 05 00 f8 4f 00 02 аб 32 a2 f9 ......... 0... 
00000090: 80 с1 аб 32 аб 32 14 4f аа f9 39 с1 аб 32 06 01 ...2. 
000000е0: b4 f9 2b c5 аб 32 е1 4f c7 c8 a2 01 82 72 сб 19 ..+.. ; 
000000f0: 30 сб 05 00 00 00 00 00 00 00 аб 32 d4 f9 76 2а 0.......... 2..\- 
00000100: аб 32 00 00 00 00 одар 


Первый байт это 3, означая, что здесь 3 записи. И присутствуют 3 записи. Но 
затем мы видим случайный шум во второй части файла. 


Шум, вероятно, связан с неинициализированными данными. Вероятно, «Воск 
out» выделил память для 10 записей где-то в куче, где, очевидно, присутству- 
ет некоторый псевдослучайный шум (оставшийся от чего-то еще). Затем он 
выставил первый/второй байт, заполнил 3 записи и затем он никогда не тро- 
гал оставшиеся 7 записей, так что они были записаны в файл как есть. 


Когда «Block out», при следующем запуске, загружает файл с рекордами, он 
читает кол-во записей из первого/второго байта (3) и полностью игнорирует 
всё, что идет после. 


Это распространенная проблема. Вернее, не совсем проблема в строгом смыс- 
ле: ничего не глючит, но лишняя информация может попадать наружу. 


Microsoft Мога версий 90-х часто оставлял куски ранее редактированных TEK- 
стов в файлах *.4ос*. В те времена это было что-то вроде развлечения, nony- 
чить .4ос-файл от кого-то, открыть его в шестнадцатеричном редакторе и npo- 
читать что-то еще, что редактировалось на том компьютере до этого. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Эта проблема может быть куда более серьезная: ошибка Heartbleed в OpenSSL. 


Домашнее задание 


«Block out» поддерживает несколько поликубов (flat/basic/extended), размер 
стакана можно конфигурировать, ит. д. И похоже на то, что для каждой конфи- 
гурации, «Block out» имеет свою таблицу рекордов. Я заметил, что некоторая 
информация вероятно сохраняется в файле ВЕ$СОВЕ. ШЮХ. Это может быть до- 
машнее задание для хардкорных фанатов «Block out» — разобраться также и 
в этой структуре. 


Файлы «Block out» здесь: һїїр : //бедіппегѕ. ге/ехатр1еѕ/Б1оскоиї. 21р (вклю- 
чая двоичные файлы с рекордами, которые я использовал в этом примере). Для 
запуска можно использовать роѕВох. 


3.24. теттоуе() и тетсру() 


Разница между этими стандартными ф-циями в том, что тетсру() слепо копи- 
рует блок в другое место, в то время как теттоуе() корректно обрабатывает 
блоки, хранимые внахлест. Например, вы хотите оттащить строку на два байта 
назад: 


N 


аера. ае с" 


тетсру(), которая копирует 32-битные или 64-битные слова за раз, или даже 
SIMD, здесь очевидно не сработают, потому как нужно использовать ф-цию 
копирования работающую побайтово. 


Теперь даже более сложный пример, вставьте 2 байта впереди строки: 


ею ео” 


Теперь даже ф-ция работающая побайтово не сработает, нужно копировать 
байты с конца. 


Это тот редкий случай, когда х86 флаг ОЕ нужно выставлять перед инструк- 
цией ВЕР MOVSB: DF определяет направление, и теперь мы должны двигаться 
назад. 


Обычная процедура тетто\уе() работает примерно так: 1) если источник HM- 
же назначения, копируем вперед; 2) если источник над назначением, копиру- 
ем назад. 


Это теттоуе() из uClibc: 


void жтетто\е (моіа ждеѕі, const void жѕгс, size t п) 


{ 
int eax, ecx, esi, edi; 
_asm_ _ volatile_ ( 
i movl %%eax, %%edi\n" 
Н cmpl %%esi, %%еах\п" 
А је 2f\n" /* (optional) src == dest -> МОР */ 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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8 jb 1f\n" /* src > dest -> simple сору */ 
ш leal –1(%%е5і,%%есх), %%esi\n" 

о leal —1(%%еах, %%есх), %%edi\n" 

а std\n" 

"Is rep; movsb\n" 

" cld\n" 


"2:\n" 
"=&c" (ecx), "=&S" (esi), "=&a" (eax), "=&D" (edi) 
"0" (n), "1" (src), "2" (dest) 
"memory" 
); 
return (моідж)еах; 


В первом случае, ВЕР MOVSB вызывается со сброшенным флагом DF. Во втором, 
ОЕ в начале выставляется, но потом сбрасывается. 


Более сложный алгоритм имеет такую часть: 


«если разница между источником и назначением больше чем ширина слова, ко- 
пируем используя слова нежели байты, и используем побитовое копирование 
для копирования невыровненных частей». 


Так происходит в неоптимизированной части на Си в Сс 2.24. 


Учитывая всё это, теттоуе() может работать медленнее, чем тетсру(). Но 
некоторые люди, включая Линуса Торвальдса, спорят? что тетсру() Donx- 
на быть синонимом memmove(), а последняя ф-ция должна в начале прове- 
рять, пересекаются ли буферы или нет, и затем вести себя как тетсру() или 
теттомеЕ(). Все же, в наше время, проверка на пересекающиеся буферы это 
очень дешевая операция. 


3.24.1. Анти-отладочный прием 


Я слышал об анти-отладочном приеме, где всё что вам нужно для падения 
процесса это выставить DF: следующий вызов тетсру() приведет к падению, 
потому что будет копировать назад. Но я не могу это проверить: похоже, все 
процедуры копирования сбрасывают/выставляют DF, как им надо. С другой сто- 
роны, memmove() из uClibc, код которой я цитировал здесь, не имеет явного 
сброса ОЕ (он подразумевает, что ОЕ всегда сброшен?), так что он может и 
упасть. 


3.25. зе] трЛопдлтр 


setjmp/longjmp это механизм в Си, очень похожий на throw/catch в Си++ и apy- 
гих высокоуровневых ЯП. Вот пример из zlib: 


53https://bugzilla.redhat.com/show бид. сд1?10=638477#с132 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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/ж return if bits() ог десойе() tries to read past available input */ 


if (setjmp(s.env) != 0) /ж if came back here via longjmp(), к 
Е 74 

егг = 2; /ж then skip Чдесотр(), return 2 
 еггог ж/ 
е1ѕе 


err = десотр(&5); /* decompress */ 


/* load at least need bits into val */ 
val = s->bitbuf; 
while (s->bitcnt < need) { 


if (s->left == 0) { 

s—->left = s->infun(s->inhow, &(5->1п)); 

if (s->left == 0) longjmp(s->env, 1); /* out of input */ 
if (s->left == 0) { 

s—->left = s->infun(s->inhow, &(5->1п)); 

if (s->left == 0) longjmp(s->env, 1); /* out of input */ 


( zlib/contrib/blast/blast.c ) 


Вызов setjmp() сохраняет текущие PC, SP и другие регистры в структуре env, 
затем возвращает 0. 


В случае ошибки, 1опдјтр() телепортирует вас в место точно после вызова 
ѕеїјтр(), как если бы вызов ѕеїјтр() вернул ненулевое значение (которое 
было передано в 1опојтр()). Это напоминает нам сисколл ТогК() в UNIX. 


Посмотрим в более дистиллированный пример: 


#include <stdio.h> 
#include <setjmp.h> 


jmp_buf env; 


void f2() 
{ 
printf ("%s() begin\n", _ FUNCTION _); 
// something odd happened here 
longjmp (env, 1234); 
printf ("%s() end\n", _ FUNCTION ); 


$; 
void 11() 
{ 
printf ("%5() Бедіп\п", _ FUNCTION _); 
12(); 
printf ("%5() епа\п", _ РОМСТТОМ _); 
$; 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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int main() 

{ 
int err=setjmp(env); 
if (err==0) 


{ 
f1(); 
} 
else 
{ 
printf ("Error %d\n", err); 
$; 


}; 


Если запустим, то увидим: 


11() begin 
f2() begin 
Error 1234 


Структура jmp_buf обычно недокументирована, чтобы сохранить прямую COB- 
местимость. 


Посмотрим, как ѕеёјтр() реализован в MSVC 2013 x64: 


; RCX = address о? jmp buf 


mov [rcx], rax 

mov [rcx+8], rbx 

mov [rcx+18h], rbp 

mov [rcx+20h], rsi 

mov [rcx+28h], rdi 

mov [rcx+30h], r12 

mov [rcx+38h], r13 

mov [rcx+40h], r14 

mov [rcx+48h], r15 

lea r8, [rsp+arg_0] 

mov [rcx+10h], r8 

mov r8, [rsp+0] ; get saved RA from stack 
mov [rcx+50h], гё ; save it 


stmxcsr dword ptr [rcx+58h] 

fnstcw word ptr [rcx+5Ch] 

movdqa xmmword ptr [rcx+60h], xmm6 
movdqa xmmword ptr [rcx+70h], xmm7 
movdqa xmmword ptr [rcx+80h], xmm8 
movdqa xmmword ptr [rcx+90h], xmm9 
movdqa xmmword ptr [rcx+0A0h], xmm10 
movdqa xmmword ptr [rcx+0B0h], xmm11 
movdqa xmmword ptr [rcx+0C0h], xmm12 
movdqa xmmword ptr [rcx+0D0h], xmm13 
movdqa xmmword ptr [rcx+0E0h], хтт14 
movdqa xmmword ptr [гсх+ӨЕӨһ], xmm15 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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геїп 


Она просто заполняет структуру јтр биё текущими значениями почти всех pe- 
гистров. Также, текущее значение ВА берется из стека и сохраняется в јтр биё: 
В будущем, оно будет использовано как новое значение РС. 


Теперь Іопојтр(): 


; RCX = address о? jmp buf 


mov rax, rdx 

mov rbx, [rcx+8] 

mov rsi, [rcx+20h] 

mov rdi, [rcx+28h] 

mov r12, [гсх+30һ] 

mov r13, [rcx+38h] 

mov r14, [rcx+40h] 

mov r15, [rcx+48h] 
1атхсѕг dword ptr [rcx+58h] 
fnclex 


fldcw word ptr [rcx+5Ch] 

movdqa xmm6, xmmword ptr [rcx+60h] 
movdqa xmm7, xmmword ptr [rcx+70h] 
movdqa xmm8, xmmword ptr [rcx+80h] 
movdqa xmm9, xmmword ptr [rcx+90h] 
movdqa xmm10, xmmword ptr [rcx+0A0h] 
movdqa хтт11, xmmword ptr [rcx+0B0h] 
movdqa хтт12, xmmword ptr [rcx+0C0h] 
movdqa хтт13, xmmword ptr [rcx+0D0h] 
movdqa хтт14, xmmword ptr [rcx+0E0h] 
movdqa xmm15, xmmword ptr [rcx+0F0h] 


mov rdx, [rcx+50h] ; get PC (RIP) 

mov rbp, [rcx+18h] 

mov rsp, [rcx+10h] 

jmp rdx ; jump to saved PC 


Она просто восстанавливает (почти) все регистры, берет из структуры RA n 
переходит туда. Эффект такой же, как если бы зе тр() вернула управление в 
вызывающую ф-цию. Также, ВАХ выставляется такой же, как и второй аргумент 
Іопојтр(). Это работает, как если бы 5е тр() вернуло ненулевое значение в 
самом начале. 


Как побочный эффект восстановления SP, все значения в стеке, которые были 
установлены и использованы между вызовами 5е три) и Іопојтр(), просто Bbl- 
кидываются. Они больше не будут использоваться. Следовательно, Іопојтр() 
обычно делает переход назад °*. 


54Впрочем, существуют люди, которые используют всё это для куда более сложных вещей, 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Это подразумевает, что в отличии от механизма throw/catch в Си++, память не 
будет освобождаться, деструкторы не будут вызываться, и т. д. Следователь- 
но, эта техника иногда опасна. Тем не менее, всё это довольно популярно, до 
сих пор. Это все еще используется в Oracle RDBMS. 


Это также имеет неожиданный побочный эффект: если некий буфер был пе- 
резаписан внутри ф-ции (может даже из-за удаленной атаки), и ф-ция хочет 
сообщить об ошибке, и вызывает longjmp(), перезаписанная часть стека стано- 
вится просто неиспользованной. 


В качестве упражнения, попробуйте понять, почему не все регистры сохраня- 
ются. Почему пропускаются регистры ХММО-ХММ5 и другие? 


3.26. Другие нездоровые хаки связанные со сте- 
ком 


3.26.1. Доступ к аргументам и локальным переменным вы- 
зывающей ф-ции 


Из основ Си/Си+ +мы знаем, что иметь доступ к аргументам ф-ции или её ло- 
кальным переменным — невозможно. 


Тем не менее, при помощи грязных хаков это возможно. Например: 


#include <stdio.h> 


void f(char *text) 


{ 
// распечатать стек 
int жїтр=&ехї; 
for (int 1=0; 1<20; i++) 
{ 
printf ("0х%х\п", »tmp); 
tmp++; 
}; 
р 
void агам text(int X, int Y, char» text) 
{ 
f (text); 
printf ("Собираемся нарисовать [%s] Ha %d:%d\n", text, X, Y); 
$}; 
int main() 
{ 


printf ("адрес main ()=0x%x\n", &таіп); 
printf ("адрес draw Техї()=0х%х\п", &draw text); 
draw _text(100, 200, "Не11о!"); 


включая имитацию копроцедур, ит. D.: https ://ww.embeddedrelated.com/showarticle/455.php 
Һер: //Ғап#.1імејоигпа1. сот/105413. һіті 
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}; 


На 32-битной Ubuntu 16.04 и ССС 5.4.0, я получил это: 


адрес та1п()=0х8048418 
адрес агам _ text ()=0x80484cb 


0x8048645 
0x8048628 
Oxbfd8ab98 
0xb7634590 
0xb779eddc 
0xb77e4918 
Oxbfd8aba8 
0x8048547 
0x64 

0хс8 
0х8048645 
0х8048581 
0xb779d3dc 
Oxbfd8abc0 
0x0 
0xb7603637 
0xb779d000 
0xb779d000 
0x0 
0xb7603637 


первый аргумент f() 


адрес возврата в середину та1п() 
первый аргумент draw text() 
второй аргумент draw text() 
третий аргумент draw text() 


(Комментарии мои.) 


Так как К) начинает перебирать элементы стека начиная со своего первого ар- 
гумента, первый элемент стека это действительно указатель на строку «Hello!». 
Мы видим что её адрес также используется как третий аргумент для ф-ции 


агаи їехї(). 


В К) мы можем читать аргументы и локальные переменные ф-ций, если мы точ- 
но знаем разметку стека, но она все время меняется, от компилятора к компи- 
лятору. Различные уровни оптимизаций также сильно влияют на разметку. 


Но если мы можем каким-то образом распознать нужную нам информацию, мы 


даже можем модифицировать её. Как пример, я переработаю ф-цию #0): 


void #(сһаг *їехї) 


{ 


// найти пару переменных 100, 200 и модифицировать вторую 


tmp=åtext; 
for (int i=0; i<20; i++) 


{ 


if (жїтр==100 && *(1тр+1)==200) 
{ 


printf ("Hawnn\n"); 


*(їтр+1)=210; // поменять 200 Ha 210 


break; 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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}; 
}; 


Таки работает: 


нашли 
Собираемся нарисовать [Не110!] на 100:210 


Итог 


Это экстремально грязный хак, предназначенный для демонстрации внутрен- 
ностей стека. я никогда даже не видел и не слышал чтобы кто-то использовал 
такое в реальном коде. Но это, как всегда, хороший пример. 


Упражнение 


Этот пример был скомпилирован без оптимизации на 32-битной Ubuntu исполь- 
зуя ССС 5.4.0 и он работает. Но когда я включил максимальную оптимизацию 
(-03), всё перестало работать. Попробуйте разобраться, почему. 


Используйте свой любимый компилятор и OS, попробуйте разные уровни опти- 
мизации, узнайте, заработает или нет, если нет, попробуйте понять, почему. 


3.26.2. Возврат строки 


Классическая ошибка из Brian W. Kernighan, Rob Pike, Practice оѓ Programming, 
(1999): 


#include <stdio.h> 


charx amsg(int п, сһагж s) 


{ 
char buf[100]; 
sprintf (buf, "error %d: %s\n", п, 5) ; 
return buf; 
}; 
int main() 
{ 
printf ("%s\n", amsg (1234, "something wrong!")); 
}; 


Она упадет. В начале, попытаемся понять, почему. 


Это состояние стека перед возвратом из ап1$9(): 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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(низкие адреса) 


[атѕ9(): 100 байт] 

[ВА] <- текущий SP 

[два аргумента amsg] 

[что-то еще] 

[локальные переменные main()] 


(высокие адреса) 


Когда управление возвращается из amsg() в таіп(), пока всё хорошо. Но KO- 
гда ргіпї#() вызывается из таіп(), который, в свою очередь, использует стек 
для своих нужд, затирая 100-байтный буфер. В лучшем случае, будет выведен 
случайный мусор. 


Трудно поверить, но я знаю, как это исправить: 


#include <stdio.h> 


charx amsg(int п, сһагж s) 


{ 
char buf[100]; 
sprintf (buf, "error %d: %s\n", п, S) ; 
return buf; 
}; 
char» interim (int п, сһагж $) 
{ 
char large buf[8000]; 
// используем локальный массив. 
// а иначе компилятор выбросит его при оптимизации, как 
неиспользуемый. 
large buf[0]=0; 
return amsg (n, s); 
}; 
int main() 
{ 
printf ("%s\n", interim (1234, "something wrong!")); 
$}; 


Это заработает если скомпилировано в MSVC 2013 без оптимизаций и с опцией 
/65-55, MSVC предупредит: “warning C4172: returning address of local variable ог 
temporary”, HO код запустится и сообщение выведется. Посмотрим состояние 
стека в момент, когда атѕ9() возвращает управление в interim(): 


55Выключить защиту от переполнения буфера 
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(низкие адреса) 


[атѕ9(): 100 байт] 

[АА] <- текущий ЅР 

[два аргумента amsg()] 

[владения 1п%ег1т(), включая 8000 байт] 
[еще что-то] 

[локальные переменные main()] 


(высокие адреса) 


Теперь состояние стека на момент, когда іпќегіт() возвращает управление в 
main(): 


(низкие адреса) 


[атѕ9(): 100 байт] 

[АА] 

[два аргумента amsg()] 

[владения 1п%ег1т(), включая 8000 байт] 
[еще что-то] <- текущий SP 

[локальные переменные main()] 


(высокие адреса) 


Так что когда таіп() вызывает ргіпї? (), он использует стек в месте, где выде- 
лен буфер в іпїегіт(), и не затирает 100 байт с сообщением об ошибке внутри, 
потому что 8000 байт (или может быть меньше) это достаточно для всего, что 
делает ргіпї+ () и другие нисходящие ф-ции! 


Это также может сработать, если между ними много ф-ций, например: таіп () 
= f1() > #2() > f3() ... > ат59(), и тогда результат атѕ9() используется в та1п(). 
Дистанция между SP в та1п() и адресом буфера Бит [] должна быть достаточ- 
но длинной. 


Вот почему такие ошибки опасны: иногда ваш код работает (и бага прячет- 
ся незамеченной), иногда нет. Такие баги в шутку называют хейзенбаги или 
шрёдинбаги. 


3.27. OpenMP 


OpenMP это один из простейших способов распараллелировать работу просто- 
го алгоритма. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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В качестве примера, попытаемся написать программу для вычисления крипто- 
графического попсе. В моем простейшем примере, попсе это число, добавляе- 
мое к нешифрованному тексту, чтобы получить хэш с какой-то особенностью. 
Например, на одной из стадии, протокол Віїсоіп требует найти такую попсе, 
чтобы в результате хэширования подряд шли определенное количество нулей. 


Это еще называется proof of work (т.е. система доказывает, что она произвела 
какие-то очень ресурсоёмкие вычисления и затратила время на это). 


Мой пример не связан с Bitcoin, он будет пытаться добавлять числа к стро- 
ке «hello, могіа! » чтобы найти такое число, при котором строка вида «hello, 
могіа! <питрег>» после хеширования алгоритмом 5НА512 будет содержать 
как минимум 3 нулевых байта в начале. 


Ограничимся перебором всех чисел в интервале 0..1МТ32_МАХ-1 (т.е., 0xX7FFFFFFE 
или 2147483646). 


Алгоритм очень простой: 


#include <stdio.h> 
#include <string.h> 
#include <stdlib.h> 
#include <time.h> 

#include "sha512.h" 


int found=0; 
int32_t checked=0; 


int32 їж min; 
int32 t» _ тах; 


time t start; 


#ifdef __ СМС 

#define min(X,Y) ((X) < (Y) ? (X) : (\)) 
#define max(X,Y > ? Е 
#епаі? 


void сһеск попсе (іпї32 1 попсе) 
{ 
иіпі8 Е buf[32]; 
struct ѕһа512 сїх ctx; 
иіпї8 t ге$[64]; 


// update statistics 
int t=omp_get_thread_num(); 


if (__min[t]==-1) 

_ тіп [+ ]=попсе; 
if (__max[t]==-1) 

_ max[t]=nonce; 


_ min[t]=min(__min[t], nonce); 
_ max[t]=max(__max[t], попсе); 
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// idle if valid попсе found 
if (found) 
return; 


memset (buf, 0, sizeof(buf)); 
sprintf (buf, "hello, world! %а", попсе); 


sha512_init_ctx (&ctx); 

sha512_process_bytes (buf, strlen(buf), &ctx); 
sha512_finish_ctx (&ctx, &res); 

if (res[0]==0 && res[1]==0 && res[2]==0) 

{ 


printf ("found (thread %d): [%5]. seconds spent=%d\n", t, 2 
4 buf, time(NULL)-start); 
found=1; 
$; 
#ргадта omp atomic 
checked++; 


#pragma omp critical 
if ((checked % 100000)==0) 
printf ("checked=%d\n", checked); 
}; 


int та1п() 
{ 
int32 t і; 
int threads=omp_get_max_threads(); 
printf ("threads=%d\n", threads); 


_ min=(int32_t»)malloc(threadsxsizeof(int32_t)); 
_ тах= (1п+32 іж) та11ос(їһгеааѕжѕіғео# (1п132 ї)); 
for (1=0; i<threads; i++) 

_ min[i]= _max[i]=-1; 


start=time(NULL); 


#pragma omp parallel for 
for (i=0; i<INT32_MAX; i++) 
check_nonce (i); 


for (i=0; i<threads; i++) 
printf (" тіп[%а]=0х%08х _ мах [%а]=0х%08х\п", i, піп[1],/ 
$ i, _ Мах[1]); 


Тгее(__т1п); Тгее (__ тах); 


}; 


сһеск попсе () просто добавляет число к строке, хеширует алгоритмом 5НА512 
и проверяет 3 нулевых байта в начале. 


Очень важная часть кода — это: 


#ргадта отр parallel for 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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for (1=0; 1<ІМТ32 МАХ; i++) 
сһеск попсе (1); 


Да, вот настолько просто, без #ргадта мы просто вызываем сһеск попсе() для 
каждого числа от 0 до INT32_MAX (Ox7fffffff или 2147483647). С #ргадта, Kom- 
пилятор добавляет специальный код, который разрежет интервал цикла на 
меньшие интервалы, чтобы запустить их на доступных ядрах СРО °6. 


Пример может быть скомпилирован 27 в М$\С 2012: 


cl орептр ехатр\е.с sha512.obj /орептр /01 /71 /Ғаорептр ехатр1е.аѕт 


Или в ССС: 


gcc -fopenmp 2.с sha512.c -S -masm=intel 


3.27.1. MSVC 


Вот как MSVC 2012 генерирует главный цикл: 


Листинг 3.123: MSVC 2012 


риѕћ OFFSET та1п$отр$1 


push 0 

push 1 

call _ мсотр_Тогк 
ааа еѕр, 16 


Функции с префиксом vcomp связаны с OpenMP и находятся в файле vcomp*.dll. 
Так что тут запускается группа тредов. 


Посмотрим на _та1п$отр$1: 


Листинг 3.124: MSVC 2012 


$Т1 = -8 ; 51те = 4 
$Т2 = -4 ; 5176 = 4 
_таіпфотр%$1 PROC 
push ebp 
mov ebp, esp 
push ecx 
push ecx 
push esi 
lea eax, DWORD PTR $T2[ebp] 
push eax 
lea eax, DWORD PTR $T1[ebp] 
push eax 
push 1 
push 1 


56N.B.: Это намеренно упрощенный пример, но на практике, применение OpenMP может быть 
труднее и сложнее 

57файлы ѕһа512.(с|һ) и иб4.һ можно взять из библиотеки OpenSSL: http://www.openssl.org/ 
ѕоигсе/ 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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push 2147483646 ; 7ffffffeH 

push 0 

са11 vcomp_for_static simple_init 

mov esi, DWORD PTR $T1[ebp] 

add esp, 24 

jmp SHORT $LN6@main$omp$1 
$LL2@main$omp$1: 

push esi 

call _check_nonce 

pop ecx 

inc esi 
$LN6@main$omp$1: 

cmp esi, DWORD PTR $T2[ebp] 

jle SHORT $LL2@main$omp$1 

call vcomp_for_static_end 

pop esi 

leave 

ret 0 


_ма1п$отр$1 ЕМОР 


Эта функция будет запущена n раз параллельно, где п это число ядер СРО. 
усотр Тог ѕТаїіс ѕітр1е іпії () вычисляет интервал для конструкта Тог() для 
текущего треда, в зависимости от текущего номера треда. Значения начала и 
конца цикла записаны в локальных переменных $Т1 и $Т2. Вы также можете 
заметить 7ffffffeh (или 2147483646) как аргумент для функции 

усотр Тог ѕТаїіс ѕітр1е іпії() — это количество итераций всего цикла, оно 
будет поделено на равные части. 


Потом мы видим новый цикл с вызовом функции сһеск попсе() делающей всю 
работу. 


Добавил также немного кода в начале функции сһесК попсе() для сбора ста- 
тистики, с какими аргументами эта функция вызывалась. 


Вот что мы видим если запустим: 


threads=4 


checked=2800000 

checked=3000000 

checked=3200000 

checked=3300000 

found (thread 3): [hello, world! 1611446522]. seconds spent=3 
_ min[0]=0x00000000 _ тах [0 ]=0хІҒҒҒҒҒҒҒ 

— min[1]=0x20000000  max[1]=0x3fffffff 

— min[2]=0x40000000  max[2]=0x5fffffff 

_ min[3]=0x60000000 _ max[3]=0x7ffffffe 


Да, результат правильный, первые 3 байта это нули: 


C:\...\sha512sum test 
000000f4a8fac5a4ed38794da4c1e39f54279ad5d9bb3c5465cdf57adaf60403 
df6e3fe6019f5764fc9975e505a7395fed780fee50eb38dd4c0279cb114672e2 test 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Оно требует ғ 2..3 секунды на 4-х ядерном Intel Xeon ЕЗ-1220 3.10 СНЕ. 


В task manager мы видим 5 тредов: один главный тред + 4 запущенных. Ника- 
ких оптимизаций не было сделано, чтобы оставить этот пример в как можно 
более простом виде. Но, наверное, этот алгоритм может работать быстрее. У 
моего CPU 4 ядра, вот почему OpenMP запустил именно 4 треда. 


Глядя на таблицу статистики, можно легко увидеть, что цикл был разделен 
очень точно на 4 равных части. Ну хорошо, почти равных, если не учитывать 
последний бит. 


Имеются также прагмы и для атомарных операций. 


Посмотрим, как вот этот код будет скомпилирован: 


#ргадта отр atomic 
сһескеа++ ; 


#ргадта отр critical 
if ((сһескеа % 100000)==0) 
printf ("спескед=%а\п", checked); 


Листинг 3.125: MSVC 2012 


push edi 
push OFFSET _checked 
call vcomp_atomic ааа 14 
; Line 55 
push OFFSET _$vcomp$critsect$ 
call vcomp_enter_critsect 
add esp, 12 
; Line 56 
mov ecx, DWORD PTR _checked 
mov eax, ecx 
cdq 
mov esi, 100000 ; 000186a0H 
idiv esi 
test edx, edx 
jne SHORT $LN1@check_nonc 
; Line 57 
push ecx 
push OFFSET ?? Са ОМӘМРМНІ І00@сһескеа? $0? СЕа?6?$АА@ 
call _printf 
pop ecx 
pop ecx 


$LN1@check_nonc: 


push DWORD PTR _$vcomp$critsect$ 
call усотр 1еаме _critsect 
рор есх 


Как выясняется, функция vcomp atomic ада 14() в усотр*.а! это просто кро- 
хотная функция имеющая инструкцию LOCK ХАРр??. 


580 префиксе LOCK читайте больше: .1.6 (стр. 1286) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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усотр епфег critsect() в конце концов вызывает функцию win32 АР! 
EnterCriticalSection() 3. 


3.27.2. ССС 


ССС 4.8.1 выдает программу показывающую точно такую же таблицу со стати- 


стикой, так что, реализация ССС делит цикл на части точно так же. 


Листинг 3.126: ССС 4.8.1 


mov edi, OFFSET FLAT:main. omp_fn.0 
call GOMP_parallel_start 

mov edi, 0 

call main. отр ?п.0 

са11 СОМР рага11е1 епа 


В отличие от реализации MSVC, то, что делает код ССС, это запускает З треда, 
но также запускает четвертый прямо в текущем треде. Так что здесь всего 4 
треда а не 5 как в случае с MSVC. 


Вот функция main. _отр_Тп.0: 


Листинг 3.127: ССС 4.8.1 


main. отр ?п.0: 


push rbp 
mov rbp, rsp 
push rbx 
sub rsp, 40 
mov QWORD РТА [rbp-40], rdi 
call omp_get_num_threads 
mov ebx, eax 
call omp_get_thread_num 
mov esi, eax 
mov eax, 2147483647 ; 0x7FFFFFFF 
cdq 
idiv ebx 
mov ecx, eax 
mov eax, 2147483647 ; 0x7FFFFFFF 
cdq 
idiv ebx 
mov eax, edx 
cmp esi, eax 
jl .L15 
.L18: 
imul esi, ecx 
mov edx, esi 
add eax, edx 
lea ebx, [rax+rcx] 
cmp eax, ebx 
jge . L14 
mov DWORD PTR [rbp-20], eax 


590 критических секциях читайте больше тут: 6.5.4 (стр. 1011) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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117: 
тоу eax, DWORD РТА [rbp-20] 
mov edi, eax 
call check_nonce 
add DWORD PTR [rbp-20], 1 
cmp DWORD PTR [rbp-20], ebx 
jl .117 
јтр 114 
‚115: 
mov eax, 0 
add ecx, 1 
jmp .L18 
114: 
ааа гѕр, 40 
рор rbx 
pop rbp 
ret 


Здесь мы видим это деление явно: вызывая 

отр_9е* пит їһгеай<() и omp_get_thread_num() мы получаем количество за- 
пущенных тредов, а также номер текущего треда, и затем определяем интер- 
вал цикла. И затем запускаем сһеск попсе (). 


ССС также вставляет инструкцию LOCK ADD прямо в том месте кода, где МУС 
сгенерировал вызов отдельной функции в ОШ: 


Листинг 3.128: ССС 4.8.1 


1оск ааа DWORD РТА checked[rip], 1 
call GOMP_critical_start 

mov ecx, DWORD PTR checked[rip] 

mov edx, 351843721 

mov eax, ecx 

imul edx 

sar edx, 13 

mov eax, ecx 

sar eax, 31 

sub edx, eax 

mov eax, edx 

imul eax, eax, 100000 

sub ecx, eax 

mov eax, ecx 

test eax, eax 

jne .17 

тоу eax, DWORD РТВ checked[rip] 

mov esi, eax 

mov edi, OFFSET FLAT:.LC2 ; "checked=%d\n" 
mov eax, 0 


call printf 
„L7: 
call GOMP_critical_end 


Функции с префиксом СОМР это часть библиотеки GNU OpenMP. В отличие от 
vcomp*.dll, её исходный код свободно доступен: GitHub. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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3.28. Еще одна ћһеіѕепбид-а 


Иногда, переполнение массива (или буфера) может привести к ошибке забор- 
ного столба (їепсероѕї error): 


#include <stdio.h> 


int аггау1 [128]; 

int 1трогфап* магі; 
int ітрогїапї \уаг2; 
int ітрогїапї магз; 
int ітрогїапї \уаг4; 
int important_var5; 


int main() 
{ 
ітрогіапї маг1=1; 
ітрогіапї маг2=2; 
ітрог+апї уаг3=3; 
ітрог+апї уаг4=4; 
ітрогіапї маг5=5; 


аггау1[0]=123; 
аггау1[128]=456; // BUG 


printf ("ітрог+апї маг1=%0\п", ітрогіапї маг1); 
printf ("ітрог+апї маг2=%0\п", 1трогфап* маг2); 
printf ("ітрогапі магЗ=%0\ п", important_var3); 
printf ("ітрогапі маг4=%0\ п", 1трогфап*_уаг4); 
printf ("ітрогапі маг5=%0\ п", 1трогфап*_уаг5); 


}; 


Вот что выводится в моем случае (неоптимизирующий ССС 5.4 x86 на Linux): 


ітрогіапї \аг1=1 
1трогфап{ уаг2=456 
1трогфап{ уаг3=3 
1трогфап{ф уаг4=4 
ітрогіапї маг5=5 


Как бывает, important_var2 может быть расположена компилятором сразу за 
аггау1 []: 


Листинг 3.129: objdump -x 


0804а040 д 0 .655 00000200 аггау1 

0804а240 д 0 .655 00000004 ітрогїапї \аг2 
0804а244 д O .655 00000004 ітрогіапї маг4 
0804а248 д 0 .655 00000004 1трогфапЕ маг1 
0804а24с 0 O .655 00000004 ітрогїапї магз 
0804а250 д O .655 00000004 ітрогїапї \уаг5 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Другой компилятор может расположить переменные в другом порядке, и дру- 
гая переменная затрется. Это также heisenbug-a (3.26.2 (стр. 810)) — ошибка 
может появится или может оставаться незамеченной в зависимости от версии 
компилятора и флагов оптимизации. 


Если все переменные и массивы расположены в локальном стеке, защита сте- 
ка может сработать, а может и нет. Хотя, Valgrind может находить такие ошиб- 
ки. 


Еще один пример в этой книге (игра Angband): 1.27 (стр. 386). 


3.29. Случай с забытым return 

Еще раз вернемся к части "Попытка использовать результат функции возвра- 
щающей void” 1.15.1 (стр. 143). 

Вот ошибка которую я однажды видел. 


И это также еще и демонстрация того факта, что Си/Си++возвращает значе- 
ние в регистре ЕАХ/ВАХ. 


В коде вроде этого я забыл добавить return: 


#include <stdio.h> 
#include <stdlib.h> 


struct color 


{ 
int R; 
int G; 
int B; 
}; 
struct color» сгеафе со1ог (int R, int G, int В) 
{ 
struct color» rt=(struct color»)malloc(sizeof(struct color)); 
rt->R=R; 
rt->G=G; 
гї->В=В; 
// здесь должен быть "return гї;" 
}; 
int та1п() 
{ 
struct со1ог* а=сгеа+е со10г(1,2,3); 
printf ("а %d %4\п", а->В, a->G, а->В); 
}; 


Неоптимизирующий ССС 5.4 молча компилирует это без всяких предупрежде- 
ния. И код работает! Посмотрим, почему: 


Листинг 3.130: Неоптимизирующий ССС 5.4 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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create_color: 


push rbp 

mov rbp, rsp 

sub rsp, 32 

mov DWORD PTR [rbp-20], edi 
mov DWORD PTR [rbp-24], esi 
mov DWORD PTR [rbp-28], edx 
mov edi, 12 

call malloc 


; ВАХ = указатель на только что выделенный буфер 
; теперь буфер заполняется В/С/В: 


mov QWORD PTR [rbp-8], rax 
mov rax, QWORD PTR [rbp-8] 
mov edx, DWORD PTR [rbp-20] 
mov DWORD PTR [rax], edx 
mov rax, QWORD PTR [rbp-8] 
mov edx, DWORD PTR [rbp-24] 
mov DWORD PTR [rax+4], edx 
mov гах, QWORD PTR [rbp-8] 
mov edx, DWORD PTR [rbp-28] 
mov DWORD PTR [rax+8], edx 
nop 
leave 

; RAX He модифицировался вплоть до этого места! 
ret 


Если я добавляю return rt;, только одна инструкция добавляется B конца, и 
она избыточна: 


Листинг 3.131: Неоптимизирующий ССС 5.4 


create color: 


push rbp 
mov rbp, rsp 
sub rsp, 32 
mov DWORD PTR [rbp-20], edi 
mov DWORD PTR [rbp-24], esi 
mov DWORD PTR [rbp-28], edx 
mov edi, 12 
call malloc 
; RAX = указатель на буфер 
mov QWORD PTR [rbp-8], rax 
mov гах, QWORD PTR [rbp-8] 
mov edx, DWORD PTR [rbp-20] 
mov DWORD PTR [rax], edx 
mov rax, QWORD PTR [rbp-8] 
mov edx, DWORD PTR [rbp-24] 
mov DWORD PTR [rax+4], edx 
mov rax, QWORD PTR [rbp-8] 
mov edx, DWORD PTR [rbp-28] 
mov DWORD PTR [rax+8], edx 
; Перезагрузить указатель на буфер в ВАХ опять, и это избыточная операция 
mov rax, QWORD PTR [rbp-8] ; новая инструкция 
leave 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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геї 


Ошибки вроде этой очень опасны, иногда они появляются, иногда пропадают. 
Это как heisenbug-n. 


Попробуем оптимизирующий ССС: 


Листинг 3.132: Оптимизирующий ССС 5.4 


create color: 


main: 


, 


rep ret 
xor eax, eax 

как если бы вызвалась ф-ция create color() и вернула 0 
sub rsp, 8 
mov r8d, DWORD PTR ds:8 
mov ecx, DWORD PTR [rax+4] 
mov edx, DWORD PTR [rax] 
mov esi, OFFSET FLAT:.LC1 
mov edi, 1 
call _printf_chk 
xor eax, eax 
add rsp, 8 
ret 


Компилятор определяет, что ф-ция ничего не возвращает, и оптимизирует всю 
ф-цию. И он считает, что ф-ция возвращает О по умолчанию. Этот ноль затем 
используется как адрес структуры в таіп(). Конечно, код падает. 


ССС в режиме С++ также не выдает никаких предупреждений. 


Попробуем неоптимизирующий MSVC 2015 x86. Он предупреждает о пробле- 
ме: 


с: \+тр\3.с(19) : warning C4716: 'сгеафе со\ог': must return а value 


И генерирует код, который упадет: 


Листинг 3.133: Неоптимизирующий MSVC 2015 x86 


, 


rt$ = —4 
В$ = 8 
_6$ = 12 
_В$ = 16 
_сгеате со1ог PROC 
push ebp 
mov ebp, esp 
push ecx 
push 12 
call _malloc 
EAX = указатель Ha буфер 
ааа еѕр, 4 
mov DWORD PTR _rt$[ebp], eax 
mov eax, DWORD PTR _rt$[ebp] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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тоу ecx, DWORD PTR _R$[ebp] 
mov DWORD PTR [eax], ecx 
mov edx, DWORD PTR _rt$[ebp] 
mov eax, DWORD PTR _G$[ebp] 
; EAX указывает на аргумент G: 
mov DWORD PTR [edx+4], eax 
mov ecx, DWORD PTR _rt$[ebp] 
mov edx, DWORD PTR _В$[ебр] 
mov DWORD PTR [ecx+8], edx 
mov esp, ebp 
pop ebp 
; EAX = G B этом месте: 
ret 0 


_сгеате со1ог ЕМОР 


Оптимизирующий MSVC 2015 x86 также генерирует падающий код, но по Apy- 
гой причине: 


Листинг 3.134: Оптимизирующий MSVC 2015 x86 


_а$ = -4 
_таіп PROC 
; здесь вставлен (inline) соптимизированный код create со1ог() : 
push ecx 
push 12 
call _malloc 
mov DWORD PTR [eax], 1 
mov DWORD PTR [eax+4], 2 
mov DWORD PTR [eax+8], 3 


; EAX указывает на выделенный буфер, и он заполняется, ОК 
; Теперь мы перезагружаем указатель на буфер, надеясь, что он в переменной 
; HO T (inlined) ф-ция не сохраняла указатель в переменной "а"! 
mov eax, DWORD PTR _a$[esp+8] 
; EAX = в этом месте, какой-нибудь случайный мусор 
push DWORD PTR [eax+8] 
push DWORD PTR [eax+4] 
push DWORD PTR [eax] 
push OFFSET $566074 


call _printf 
xor eax, eax 
add esp, 24 
ret 0 
_main ЕМОР 
_В$ = 8 
_6$ = 12 
_В$ = 16 
_сгеате со1ог PROC 
push 12 
call _malloc 
mov ecx, DWORD PTR _R$[esp] 
add esp, 4 
mov DWORD PTR [eax], ecx 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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тоу ecx, DWORD РТВ G$[esp-4] 
mov DWORD PTR [eax+4], ecx 
mov ecx, DWORD PTR _B$[esp-4] 
mov DWORD PTR [eax+8], ecx 

; EAX указывает на выделенный буфер, ОК 
геї 0 


_сгеате со1ог ЕМОР 


Хотя, неоптимизирующий MSVC 2015 x64 генерирует работающий код: 


Листинг 3.135: Non-optimizing MSVC 2015 x64 


rt$ = 32 

R$ = 64 

6$ = 72 

В$ = 80 

create color PROC 
mov DWORD PTR [rsp+24], r8d 
mov DWORD PTR [rsp+16], edx 
mov DWORD PTR [rsp+8], ecx 
sub rsp, 56 
mov ecx, 12 


call malloc 
; RAX = выделенный буфер 


mov QWORD PTR rt$[rsp], rax 
mov гах, QWORD PTR rt$[rsp] 
mov ecx, DWORD PTR R$[rsp] 
mov DWORD PTR [rax], ecx 
mov rax, QWORD PTR rt$[rsp] 
mov ecx, DWORD РТА G$[rsp] 
mov DWORD PTR [rax+4], ecx 
mov rax, QWORD PTR rt$[rsp] 
mov ecx, DWORD PTR B$[rsp] 
mov DWORD PTR [rax+8], ecx 
add rsp, 56 

; RAX не меняется вплоть до этого места 
геї 0 


create color ЕМОР 


Оптимизирующий MSVC 2015 x64 также вставляет код ф-ции в другую ф-цию 
(inline), как в случае с x86, и итоговый код также падает. 


Это реальный фрагмент из моей библиотеки octothorpe, который работал, и 
все тесты нормально проходили. Так оно и было, какое-то время без return.. 


uint32_t ЁЕРНМ и32 һаѕһ(уоіа *Кеу) 
{ 


} 


јепкіпѕ опе аї а їіте һаѕһ и32((и1їпї32_ ї) Кеу); 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Мораль истории: предупреждения очень важны, используйте -Ма11, и т. д., и 
т. п. Без директивы return, компилятор может просто ничего не делать в этом 
месте. 


Такая ошибка, если незамечена, может испортить целый день. 


Также, shotgun debugging это плохо, опять же потому что такая ошибка может 
затеряться (“сейчас всё работает, ну пусть так оно и остается, ничего не надо 
менять”). 


См.также: обсуждение на Hacker М№ем 60 и архивированный пост в блогеб!. 


3.30. Домашнее задание: больше об указателях 
на ф-ции и объединениях (ипіоп) 


Этот код был скопирован из аи/тб?, это, вероятно, самый маленький оконный 
менеджер под Шпих. 


Проблема: клавиши нажатые пользователем должны быть связаны с различ- 
ными ф-циями внутри dwm. Обычно это решается в виде большого ѕи/ёсћ(). 


Обыкновенно, это важная проблема, которую решают программисты любых 
видеоигр. 


Вероятно, создатели амт хотели сделать код ясным, и при этом, чтобы поль- 
зователи могли легко модифицировать его: 


typedef union { 
int i; 
unsigned int ui; 
float f; 
const void жу; 

} Arg; 


typedef struct { 
unsigned int mod; 
KeySym keysym; 
void (xfunc)(const Arg ж); 
const Arg arg; 
} Key; 


static Key keys[] = { 
/* modifier key function argument */ 


60https://news.ycombinator .com/item?id=18671609 
6lhttps://web.archive.org/web/20190317231721/https ://yurichev.com/blog/no_return/ 
62https://dwm. suckless.org/ 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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{ МООКЕУ, ХК р, spawn, {.v = dmenucmd } }, 
{ MODKEY|ShiftMask, ХК Return, spawn, {.v = termcmd } }, 
{ MODKEY, XK b, togglebar, {0} }, 
{ MODKEY, ХК j, focusstack, {.1 = +1 } }, 
{ MODKEY, ХК К, focusstack, {.1 = -1 } }, 
{ MODKEY, ХК 1, іпсптаѕ+ег, {.1 = +1 } }, 
{ МООКЕУ, хк а, іпсптаѕ+ег, {.1 = -1 } }, 
{ МООКЕУ, ХК п, setmfact, {.f = -0.05} }, 
{ MODKEY, XK 1, setmfact, {.f = +0.05} }, 
{ MODKEY, XK_Return, zoom, {0} }, 
{ MODKEY, ХК тар, view, {0} }, 
{ MODKEY|ShiftMask, ХК c, killclient, {0} }, 
{ MODKEY, XK t, setlayout, {.v = &layouts[0]} }, 
{ MODKEY, XK f, setlayout, {.v = &layouts[1]} }, 
{ MODKEY, XK m, setlayout, {.v = &layouts[2]} }, 
void 
spawn(const Arg жагд) 
{ 
void 
focusstack(const Arg *arg) 
{ 


Для каждой клавиши с модификаторами (shift/ctrl/alt) определена ф-ция. И ga- 
же более того: параметры (или аргументы) передаются в ф-цию в каждом кон- 
кретном случае. Но параметры могут иметь разные типы. Так что здесь исполь- 
зуется ипоп. Значение необходимого типа записано в таблицу. Каждая ф-ция 
берет себе то, что ей нужно. 


В качестве домашнего задания, попробуйте написать код вроде такого, или 
разберитесь, как в dwm передается union и как это обрабатывается соответ- 
ствующими ф-циями. 


3.31. Windows 16-bit 


16-битные программы под Windows в наше время редки, хотя иногда можно 
поработать с ними, в смысле ретрокомпьютинга, либо которые защищенные 
донглами (8.6 (стр. 1047)). 


16-битные версии Windows были вплоть до 3.11. 95/98/МЕ также поддерживает 
16-битный код, как и все 32-битные OS линейки Windows МТ. 64-битные версии 
Windows МТ не поддерживают 16-битный код вообще. 


Код напоминает тот что под MS-DOS. 


Исполняемые файлы имеют МЕ-тип (так называемый «пем executable»). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Все рассмотренные здесь примеры скомпилированы компилятором OpenWatcom 
1.9 используя эти опции: 


wcl.exe —1=С: /МАТСОМ/һ/міп/ -s -os -bt=windows -bcl=windows ехатр1е. с 


3.31.1. Пример#1 


#include <windows . һ> 
int PASCAL МіпМаіп( НІМЅТАМСЕ hInstance, 
HINSTANCE hPrevInstance, 
LPSTR lpCmdLine, 
int nCmdShow ) 
{ 
MessageBeep(MB_ICONEXCLAMATION) ; 
return Q; 
$}; 
WinMain proc near 
push bp 
mov bp, sp 
mov ax, 30h ; '0' ; МВ ТСОМЕХСЕАМАТТОМ constant 
push ax 
call MESSAGEBEEP 
xor ax, ax ; return 0 
рор bp 
retn ОАһ 
WinMain endp 


Пока всё просто. 


3.31.2. Пример #2 


#include <windows . һ> 
int PASCAL МіпМаіп( НІМЅТАМ№СЕ hInstance, 
HINSTANCE hPrevInstance, 
LPSTR lpCmdLine, 
int nCmdShow ) 
{ 
MessageBox (NULL, "hello, world", "caption", MB_YESNOCANCEL) ; 
return 0; 
$}; 
WinMain proc near 
push bp 
mov bp, sp 
xor ax, ax ; NULL 
push ax 
push ds 
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mov ax, offset aHelloworld ; 0x18. "hello, world" 
push ax 
push ds 
mov ax, offset aCaption ; 0x10. "caption" 
push ax 
mov ax, 3 ; MB_YESNOCANCEL 
push ax 
call МЕЅЅАСЕВОХ 
хог ах, ах ; return 0 
рор bp 
retn OAh 
WinMain endp 
dseg02:0010 aCaption db 'caption',0 
dseg02:0018 aHelloWorld db 'hello, мог1а',0 


Пара важных моментов: соглашение о передаче аргументов здесь PASCAL: оно 
указывает что самый первый аргумент должен передаваться первым (MB_YESNOCANCEL), 
а самый последний аргумент — последним (NULL). Это соглашение также yka- 

зывает вызываемой функции восстановить указатель стека: поэтому инструк- 

ция RETN имеет аргумент ОАһ означая что указатель нужно сдвинуть вперед на 

10 байт во время возврата из функции . Это как $ сай (6.1.2 (стр. 940)), только 
аргументы передаются в «естественном» порядке. 


Указатели передаются парами: сначала сегмент данных, потом указатель внут- 
ри сегмента . В этом примере только один сегмент, так что 05 всегда указывает 
на сегмент данных в исполняемом файле. 


3.31.3. Пример #3 


#include <windows .h> 


int PASCAL WinMain( HINSTANCE hInstance, 
HINSTANCE hPrevInstance, 
LPSTR lpCmdLine, 
int nCmdShow ) 


int result=MessageBox (NULL, "hello, world", "caption", MB_YESNOCANCEL) 2 
Gi 


if (result==IDCANCEL) 

MessageBox (NULL, "you pressed cancel", "caption", МВ ОК); 
else if (result==IDYES) 

MessageBox (NULL, "you pressed yes", "caption", МВ ОК); 
else if (result==IDN0) 

MessageBox (NULL, "you pressed no", "caption", МВ ОК); 


return 0; 


}; 


WinMain proc near 
push bp 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Тос 2Е: 


1ос 3р: 


Тос 49: 


1ос 57: 


МіпМаіп 


mov 
xor 
push 
push 
mov 
push 
push 
mov 
push 
mov 
push 
call 
cmp 
jnz 
xor 
push 
push 
mov 
jmp 


cmp 
jnz 
xor 
push 
push 
mov 


jmp 


cmp 
jnz 
xor 
push 
push 
mov 


push 
push 
mov 

push 
xor 

push 
call 


xor 
pop 

retn 
endp 


bp, sp 

ax, ax ; NULL 
ax 

ds 


ax, offset aHelloWworld ; “hello, world" 
ax 


ds 

ax, offset aCaption ; "caption" 
ax 

ax, 3 ; MB_YESNOCANCEL 
ax 

МЕЅЅАСЕВОХ 

ах, 2 ; ТОСАМСЕЁ 

short loc_2F 

ax, ax 

ax 

ds 

ax, offset aYouPressedCanc ; "уои pressed cancel" 


short loc_49 


ax, 6 ; IDYES 

short loc_3D 

ax, ax 

ax 

ds 

ax, offset aYouPressedYes ; "you pressed yes" 


short loc_49 


ax, 7 ; IDNO 

short loc_57 

ax, ax 

ax 

ds 

ax, offset aYouPressedNo ; "you pressed no" 
ax 

ds 

ax, offset aCaption ; "caption" 
ax 

ax, ax 

ax 

МЕЅЅАСЕВОХ 

ах, ах 

bp 

OAh 


Немного расширенная версия примера из предыдущей секции. 


3.31.4. Пример #4 
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#include <windows . ћ> 


int PASCAL func1 (int а, int b, int с) 


{ 
return a*b+C; 
}; 
long PASCAL func2 (long a, long b, long c) 
{ 
return a*b+C; 
}; 
long PASCAL func3 (long a, long b, long c, int d) 
{ 
return axb+c-d; 
}; 


int PASCAL WinMain( HINSTANCE hInstance, 
HINSTANCE hPrevInstance, 
LPSTR lpCmdLine, 
int nCmdShow ) 


{ 
Типс1 (123, 456, 789); 
func2 (600000, 700000, 800000); 
func3 (600000, 700000, 800000, 123); 
return 0; 
}; 
func1 proc near 
c = word ptr 4 
b = word ptr 6 
a = word ptr 8 
push bp 
mov bp, sp 
mov ax, [bp+a] 
imul [bp+b] 
add ax, [bp+c] 
pop bp 
retn 6 
func1 endp 
func2 proc near 
arg 0 = word ptr 4 
arg_2 = word ptr 6 
arg_4 = word ptr 8 
arg 6 = word ріг ӨАП 
arg_8 = word ріг ӨСһ 
arg_A = word ріг ӨЕһ 
push bp 
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func2 
func3 


arg 0 
arg_2 
arg_4 
arg_6 
arg_8 
arg_A 


аго_С 


func3 


WinMain 


mov bp, sp 

mov ax, [bp+arg_8] 
mov dx, [bp+arg_A] 
mov bx, [bp+arg_4] 
mov cx, [bp+arg_6] 
call sub_B2 ; long 32-bit multiplication 
add ax, [bp+arg_0] 
adc dx, [bp+arg_2] 
pop bp 

retn 12 

endp 

proc near 

= word ptr 4 

= word ptr 6 

= word ptr 8 

= word ріг ӨАП 

= мога ріг ӨСһ 

= мога ріг ӨЕһ 

= мога ріг 10h 

push bp 

mov bp, sp 

mov ax, [bp+arg_A] 
mov dx, [bp+arg_C] 
mov bx, [bp+arg_6] 
mov cx, [bp+arg_8] 
call sub_B2 ; long 32-bit multiplication 
mov cx, [bp+arg_2] 
add сх, ах 

mov bx, [bp+arg_4] 
adc bx, dx ; BX=high part, CX=low part 
mov ax, [bp+arg_0] 
cwd ; AX=low part а, DX=high part d 
sub сх, ах 

mov ax, CX 

sbb bx, dx 

mov dx, bx 

pop bp 

retn 14 

endp 

proc near 

push bp 

mov bp, sp 

mov ax, 123 

push ax 

mov ax, 456 

push ax 

mov ax, 789 

push ax 

call func1 
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mov ax, 9 ; high part of 600000 
push ax 
mov ax, 27C0h ; low part of 600000 
push ax 
mov ах, ӨАһ ; high part of 700000 
push ax 
mov ах, ОАЕбОН ; low part of 700000 
push ax 
mov ax, OCh ; high part of 800000 
push ax 
mov ax, 3500h ; low part of 800000 
push ax 
call func2 
mov ax, 9 ; high part of 600000 
push ax 
mov ax, 27C0h ; low part of 600000 
push ax 
mov ах, ӨАһ ; high part of 700000 
push ax 
mov ах, ОАЕбОП ; low part of 700000 
push ax 
mov ax, OCh ; high part of 800000 
push ax 
mov ax, 3500h ; low part of 800000 
push ax 
mov ax, 7Bh ; 123 
push ax 
call func3 
xor ax, ax ; return 0 
pop bp 
retn OAh 

WinMain endp 


32-битные значения (тип данных long означает 32-бита, а int здесь 16-битный) 
в 16-битном коде (и в MS-DOS ив Міп16) передаются парами) . Это так же как 
и 64-битные значения передаются в 32-битной среде (1.34 (стр. 506)). 


ѕиб В2 здесь это библиотечная функция написанная разработчиками компиля- 
тора, делающая «long multiplication», т.е. перемножает два 32-битных значе- 
ния. Другие функции компиляторов делающие то же самое перечислены здесь 
:.5 (стр. 1310), .4 (стр. 1310). 


Пара инструкций ADD/ADC используется для сложения этих составных значений 
: ADD может установить или сбросить флаг СЕ, а Арс будет использовать его 
после. 


Пара инструкций 50В/5ВВ используется для вычитания: SUB может установить 
или сбросить флаг СЕ, 5ВВ будет использовать его после. 


32-битные значения возвращаются из функций в паре регистров DX:AX. 
Константы так же передаются как пары в WinMain(). 


Константа 123 типа int в начале конвертируется (учитывая знак) в 32-битное 
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значение используя инструкция CWD . 


3.31.5. Пример #5 


#include <windows .h> 


int PASCAL string_compare (char ж51, char ж52) 


{ 
while (1) 
{ 
if (*51!=*52) 
return 0; 
if (ж51==0 || *s2==0) 
return 1; // end of string 
51++; 
$2++; 
}; 
$; 
int PASCAL $+г1пд_сотраге_Таг (char far xsl, char far ж52) 
{ 
while (1) 
{ 
if (ж51!=ж52) 
return 0; 
if (ж51==0 || *s2==0) 
return 1; // end of string 
sl++; 
S2++; 
$; 
$; 
void PASCAL remove digits (char *5) 
{ 
while (*s) 
{ 
if (ж5>='0' && *s<='9') 
*sS='—'; 
S++; 
}; 
$; 


char str[]="hello 1234 world"; 


int PASCAL WinMain( HINSTANCE hInstance, 
HINSTANCE hPrevInstance, 
LPSTR lpCmdLine, 
int nCmdShow ) 


string_compare ("asd", "def"); 
string compare Таг ("asd", "def"); 
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remove digits (str); 
MessageBox (NULL, str, "caption", MB_YESNOCANCEL) ; 
return 0; 


}; 


string_compare proc near 


агд_0 = word ptr 4 
arg_2 = word ptr 6 


push bp 

mov bp, sp 

push si 

mov si, [bp+arg_0] 

mov bx, [bp+arg_2] 
loc_12: ; CODE XREF: string сотраге+21ј 

mov al, [bx] 

cmp al, [si] 

jz short 1ос_1С 

xor ax, ax 

jmp short loc_2B 


loc_1C: ; CODE XREF: string_compare+Ej 
test al, al 


jz short loc_22 
jnz short loc_27 
loc 22: ; CODE XREF: string сотраге+16ј 
mov ax, 1 
jmp short loc_2B 


Тос 27: ; CODE XREF: string сотраге+18ј 


inc bx 
inc si 
jmp short loc_12 


loc_2B: ; CODE XREF: string_compare+12j 
; string_compare+1Dj 


pop si 
pop bp 
retn 4 


string_compare endp 


${г1п9_сотраге Таг proc near ; CODE XREF: WinMain+18p 


агд_0 = мога ptr 4 
arg_2 = word ptr 6 
arg 4 = word ptr 8 
arg_6 = word ptr ОАһ 
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ри5һ 
mov 
push 
mov 
mov 


loc_3A: ; 
mov 
mov 
mov 
cmp 
jz 
xor 
jmp 


loc 4C: ; 
mov 
cmp 
jz 
mov 
cmp 
jnz 


loc 5E: ; 
mov 
jmp 


loc 63: ; 
inc 
inc 
jmp 


loc 67: ; 


pop 

pop 

retn 
string_com 


remove dig 
arg_0 = мо 
push 


mov 
mov 


loc_72: ; CODE XREF: 


mov 


bp 
bp, sp 
si 
si, 
bx, 


[bp+arg_0] 
[bp+arg_4] 


CODE XREF: string_compare_far+35j 
es, [bp+arg_6] 
al, es: [6х] 
es, [bp+arg_2] 
al, es:[si] 
short 1ос_4С 
ax, ax 
short loc_67 


CODE XREF: ѕїгіпд сотраге Ғаг+16]ј 
es, [bp+arg_6] 
byte ptr es:[bx], 0 
short loc_5E 
es, [bp+arg_2] 
byte ptr es:[si], 0 
short loc_63 


CODE XREF: 
ax, 1 
short 


string_compare_far+23j 


loc_67 


CODE XREF: 
bx 
si 
short 


string_compare_far+2Cj 


loc_3A 


CODE XREF: string_compare_far+1Aj 
string_compare_far+31j 

si 

bp 

8 
раге far епар 


its proc near ; CODE XREF: WinMain+1Fp 


rd ptr 4 


bp 
bp, sp 
bx, [bp+arg_0] 


remove digits+18j 


al, [bx] 
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loc 86: ; 
рор 
retn 

remove_dig 


al, al 

short loc_86 

al, 30h ; '0' 

short loc_83 

al, 39h ; '9' 

short loc_83 

byte ptr [bx], 2Dh ; '-' 


; CODE XREF: remove digits+Ej 


remove digits+12j 
bx 
short loc_72 


CODE XREF: remove digits+Aj 
bp 
2 

its епар 


WinMain proc near ; CODE XREF: start+EDp 


push 
mov 
mov 
push 
mov 
push 
call 
push 
mov 
push 
push 
mov 
push 
call 
mov 
push 
call 
xor 
push 
push 
mov 
push 
push 
mov 
push 
mov 
push 
call 
xor 
pop 
retn 


bp 

bp, sp 

ax, offset aAsd 
ax 

ax, offset aDef 
ax 
string_compare 
ds 

ax, offset aAsd 
ax 

ds 

ax, offset аре? ; "def" 

ax 

string_compare_far 

ax, offset aHello1234World ; “hello 1234 world" 
ax 

remove_digits 

ax, ax 


"аѕа" 


"def" 


"asd" 


ax, offset aHello1234Wworld ; "hello 1234 world" 
ax 

ds 

ax, offset aCaption ; "caption" 
ax 

ax, 3 ; МВ УЕЗМОСАМСЕЕ 

ax 

МЕЅЅАСЕВОХ 

ах, ах 

bp 

OAh 


WinMain endp 
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Здесь мы можем увидеть разницу между указателями «пеаг» и указателями 
«Таг» еще один ужасный артефакт сегментированной памяти 16-битного 8086 


Читайте больше об этом: 10.7 (стр. 1254). 


Указатели «пеаг» («близкие») это те которые указывают в пределах текуще- 
го сегмента . Поэтому, функция ѕїгіпо сотраге() берет на вход только 2 16- 
битных значения и работает с данными расположенными в сегменте, на кото- 
рый указывает DS (инструкциятоу al, [bx] на самом деле работает как mov 
al, 5: [6х] — DS используется здесь неявно). 


Указатели «far» (далекие) могут указывать на данные в другом сегменте na- 
мяти. 

Поэтому ѕ1гіпд сотраге Ғаг() берет на вход 16-битную пару как указатель, 
загружает старшую часть в сегментный регистр ES и обращается к данным че- 
рез него 

(mov al, еѕ: [6х] ). Указатели «far» также используются в моем \м/т16-примере 
касательно 

МеѕѕадеВох (): 3.31.2 (стр. 826). Действительно, ядро Windows должно знать, 
из какого сегмента данных читать текстовые строки, так что ему нужна пол- 
ная информация. 


Причина этой разница в том, что компактная программа вполне может обой- 
тись одним сегментом данных размером 64 килобайта, так что старшую часть 
указателя передавать не нужна (ведь она одинаковая везде). Большие про- 
граммы могут использовать несколько сегментов данных размером 64 кило- 
байта, так что нужно указывать каждый раз, в каком сегменте расположены 
данные. 


То же касается и сегментов кода. Компактная программа может расположить- 
ся в пределах одного 64КБ-сегмента, тогда функции в ней будут вызываться 
инструкцией CALL NEAR, а возвращаться управление используя RETN. Но ec- 
ли сегментов кода несколько, тогда и адрес вызываемой функции будет за- 
даваться парой, вызываться она будет используя CALL РАК, а возвращаться 
управление используя КЕТЕ. 


Это то что задается в компиляторе указывая «memory model». 


Компиляторы под MS-DOS и Win16 имели разные библиотеки под разные моде- 
ли памяти: они отличались типами указателей для кода и данных. 


3.31.6. Пример #6 


#include <windows .h> 
#include <time.h> 
#include <stdio.h> 


char strbuf[256]; 
int PASCAL WinMain( HINSTANCE hInstance, 


HINSTANCE hPrevInstance, 
LPSTR lpCmdLine, 
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int nCmdShow ) 


{ 
struct tm *t; 
time_t unix_time; 
unix time=time (NULL); 
t=localtime (&unix time); 
sprintf (strbuf, "%04d-%02d-%02d %02d:%02d:%02d", t->tm year+1900, 2 
$ t->tm_mon, t->tm mday, 
t->tm_hour, t->tm_min, t->tm_sec); 
MessageBox (NULL, strbuf, "caption", МВ ОК); 
return Q; 
}; 
WinMain proc near 
маг 4 = мога ptr -4 
маг 2 = мога ptr -2 
push bp 
mov bp, sp 
push ax 
push ax 
xor ax, ax 
call time_ 
mov [bp+var_4], ax ; low part of UNIX time 
mov [bp+var_2], dx high part of UNIX time 
lea ax, [bp+var_4] ; take a pointer of high part 
call localtime_ 
mov bx, ax „ү 
push word ptr [bx] second 
push word ptr [bx+2] ; minute 
push word ptr [bx+4] hour 
push word ptr [bx+6] ; day 
push word ptr [bx+8] ; month 
mov ax, [bx+0Ah] ; year 
add ax, 1900 
push ax 
mov ax, offset a04d02d02d02d02 ; 
"%04d-%02d-%02d %02d:%02d :%02d" 
push ax 
mov ax, offset strbuf 
push ax 
call sprintf_ 
add sp, 10h 
xor ax, ax ; NULL 
push ax 
push ds 
mov ax, offset strbuf 
push ax 
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push ds 
mov ax, offset aCaption ; "caption" 
push ax 
xor ax, ax ; МВ ОК 
push ax 
call МЕЅЅАСЕВОХ 
хог ах, ах 
mov sp, bp 
pop bp 
retn OAh 
WinMain endp 


Время в формате UNIX это 32-битное значение, так что оно возвращается B па- 
ре регистров ОХ:АХ и сохраняется в двух локальных 16-битных переменных. 
Потом указатель на эту пару передается в функцию Тоса1{1те(). Функция 
localtime() имеет структуру struct tm расположенную у себя где-то внутри, 
так что только указатель на нее возвращается. Кстати, это также означает, 
что функцию нельзя вызывать еще раз, пока её результаты не были использо- 
ваны. 


Для функций time() и 1оса1+іте() используется Маїсот-соглашение о Bbl- 
зовах: первые четыре аргумента передаются через регистры АХ, ОХ, ВХ и СХ, 
а остальные аргументы через стек. Функции, использующие это соглашение, 
маркируется символом подчеркивания в конце имени. 


Для вызова функции sprintf() используется обычное соглашение cdecl (6.1.1 
(стр. 940)) вместо PASCAL или Watcom, так что аргументы передаются привыч- 
ным образом. 


Глобальные переменные 


Это тот же пример, только переменные теперь глобальные: 


#include <windows .h> 
#include <time.h> 
#include <stdio.h> 


char strbuf[256]; 
struct tm *t; 
time_t unix_time; 


int PASCAL WinMain( HINSTANCE hInstance, 
HINSTANCE hPrevInstance, 


LPSTR lpCmdLine, 
int nCmdShow ) 


unix_time=time (NULL); 


t=localtime (&unix time); 


sprintf (strbuf, "%04d-%02d-%02d %02d:%02d:%02d", t->tm year+1900, / 
$ ї->їт топ, t->tm_mday, 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


839 


t->tm_hour, ї->їт тіп, ї->їт 5ес); 


MessageBox (NULL, strbuf, "caption", МВ ОК); 
return 0; 


}; 


unix_time_low Ям 0 
unix_time_ high дм 0 


t dw 0 
WinMain proc near 
push bp 
mov bp, sp 
xor ax, ax 
call time_ 
mov unix_time_low, ax 
mov unix _time_high, dx 
mov ax, offset unix time_low 
call localtime_ 
mov bx, ax 
mov t, ax ; will not be used in future... 
push word ptr [bx] ; seconds 
push word ptr [bx+2] ; minutes 
push word ptr [bx+4] ; hour 
push word ptr [bx+6] ; day 
push word ptr [bx+8] ; month 
mov ax, [bx+0Ah] ; year 
add ax, 1900 
push ax 
mov ax, offset a04d02d02d02d02 ; 
"%04d-%02d-%02d %024:%024:%024" 
push ax 
mov ax, offset strbuf 
push ax 
call sprintf_ 
add sp, 10h 
xor ax, ax ; NULL 
push ax 
push ds 
mov ax, offset strbuf 
push ax 
push ds 
mov ax, offset aCaption ; "caption" 
push ax 
xor ax, ax ; МВ ОК 
push ax 
call МЕЅЅАСЕВОХ 
хог ах, ах ; return 0 
рор bp 
retn OAh 
WinMain endp 


t He будет использоваться, но компилятор создал код, записывающий в эту 
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переменную. 


Потому что он не уверен, может быть это значение будет прочитано где-то в 
другом модуле. 
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Java 


4.1. Java 


4.1.1. Введение 


Есть немало известных декомпиляторов для Java (или для /\/М-байткода вооб- 
1 
ще) +. 


Причина в том что декомпиляция /\М-байткода проще чем низкоуровневого 
х86-кода: 


• Здесь намного больше информации о типах. 
• Модель памяти в JVM более строгая и очерченная. 


e Јауа-компилятор не делает никаких оптимизаций (это делает JVM JIT? BO 
время исполнения), так что байткод в с!а55-файлах легко читаем. 


Когда знания Ј\УМ-байткода могут быть полезны? 


• Мелкая/несложная работа по патчингу сІаѕѕ-файлов без необходимости 
снова компилировать результаты декомпилятора. 


• Анализ обфусцированного кода. 


• Анализ кода сгенерированного более новым Јама-компилятором, для KOTO- 
рого еще пока нет обновленного декомпилятора. 


• Создание вашего собственного обфускатора. 


• Создание кодегенератора компилятора (back-end), создающего код для 
JVM (как Scala, Clojure, и т. д. °). 


Начнем с простых фрагментов кода. 


Если не указано иное, везде используется )ОК 1.7. 


1Например, JAD: һїїр: //магапесКа$ . сот/јай/ 
2jJust-In-Time compilation 
ЗПолный список: http://en.wikipedia.org/wiki/List_of_JVM_languages 
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Эта команда использовалась везде для декомпиляции с!а5$-файлов: 
]ауар -c -мегроѕе. 


Эта книга использовалась мною для подготовки всех примеров: [Тит Lindholm, 
Frank Yellin, Gilad Bracha, Alex Buckley, The Јауа(А) Virtual Machine Specification / 
Java SE 7 Edition] “. 


4.1.2. Возврат значения 


Наверное, самая простая из всех возможных функций на Јама это та, что воз- 
вращает некоторое значение. 


О, и мы не должны забывать, что в java нет «свободных» функций в общем 
смысле, это «методы». 


Каждый метод принадлежит какому-то классу, так что невозможно объявить 
метод вне какого-либо класса. 


Но мы все равно будем называть их «функциями», для простоты. 


public class геї 


{ 
public static int main(String[] args) 
{ 
return 0; 
} 
} 


Компилируем это: 


javac геї. јама 


...И декомпилирую используя стандартную утилиту в Java: 


]ауар -c -verbose ret.class 


И получаем: 


Листинг 4.1: JDK 1.7 (excerpt) 


public static int main(java.lang.String[]); 
flags: АСС PUBLIC, АСС _ STATIC 
Code: 
stack=1, locals=1, args_size=1 
0: iconst 0 
1: ireturn 


Разработчики Java решили, что 0 это самая используемая константа в програм- 
мировании, так что здесь есть отдельная однобайтная инструкция iconst 0, 
заталкивающая О в стек 2. 


4Также доступно здесь: https : //йосѕ.огас1е. сот/јамаѕе/ѕресѕ/јутѕ/5е7/јутѕ7.рағ; http:// 
аосѕ.огас1е. сот/ јамуаѕе/ѕресѕ/јутѕ/5е7/һіті/ 
5Так же как и в MIPS, где для нулевой константы имеется отдельный регистр: 1.5.4 (стр. 35). 
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Здесь есть также ісопѕї 1 (заталкивающая 1), ісопѕї 2, и т. д., вплоть до 
ісопѕї 5. Есть также ісопѕї т1 заталкивающая -1. 


Стек также используется в JVM для передачи данных в вызывающие ф-ции, и 
также для возврата значений. Так что ісопѕї 0 заталкивает О в стек. 1гефигп 
возвращает целочисленное значение (iB названии означает integer) из ТО$6. 


Немного перепишем наш пример, теперь возвращаем 1234: 


public class геї 


{ 
public static int main(String[] args) 
{ 
return 1234; 
} 
} 
...получаем: 


Листинг 4.2: JDK 1.7 (excerpt) 


public static int main(java.lang.String[]); 
flags: АСС PUBLIC, АСС _ STATIC 


Code: 
stack=1, locals=1, args_size=1 
0: sipush 1234 
3: ireturn 


sipush (short integer) заталкивает значение 1234 в стек. short в имени означает, 
что 16-битное значение будет заталкиваться в стек. 


Число 1234 действительно помещается в 16-битное значение. 


Как насчет больших значений? 


public class геї 


{ 

public static int main(String[] args) 

{ 

return 12345678; 

} 

} 
Листинг 4.3: Constant pool 
#2 = Integer 12345678 


public static int main(java.lang.String[]); 
flags: АСС PUBLIC, АСС STATIC 
Code: 
stack=1, locals=1, args_size=1 


6Тор of Stack (вершина стека) 
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0: 1ас #2 // int 12345678 
2: ireturn 


Невозможно закодировать 32-битное число в опкоде какой-либо ЈУМ-инструкции, 
разработчики не оставили такой возможности. 


Так что 32-битное число 12345678 сохранено в так называемом «constant pool» 
(пул констант), который, так скажем, является библиотекой наиболее исполь- 
зуемых констант (включая строки, объекты, ит. д.). 


Этот способ передачи констант не уникален для JVM. 


MIPS, ARM и прочие В!5С-процессоры не могут кодировать 32-битные числа в 
32-битных опкодах, так что код для КІЅ5С-процессоров (включая MIPS и АВМ) 
должен конструировать значения в несколько шагов, или держать их в сег- 
менте данных: 1.39.3 (стр. 567), 1.40.1 (стр. 571). 


Код для MIPS также традиционно имеет пул констант, называемый «literal pool», 
это сегменты с названиями «.14» (для хранения 32-битных чисел с плавающей 
точкой одинарной точности) и «.Ш8»(для хранения 64-битных чисел с плаваю- 
щей точкой двойной точности). 


Попробуем некоторые другие типы данных! 


Boolean: 
public class ret 
{ 
public static boolean main(String[] args) 
{ 
return true; 
} 
} 


public static boolean main(java.lang.String[]); 
flags: АСС PUBLIC, АСС _ STATIC 
Code: 
stack=1, locals=1, args_size=1 
0: iconst_1 
1: ireturn 


Этот ЈУМ-байткод не отличается от того, что возвращает целочисленную 1. 


32-битные слоты данных в стеке также используются для булевых значений, 
как в Си/Си++. 


Но нельзя использовать возвращаемое значение булевого типа как целочис- 
ленное и наоборот — информация о типах сохраняется в с!а55-файлах и прове- 
ряется при запуске. 


Та же история с 16-битным Short: 


public class геї 


{ 


public static short main(String[] args) 
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{ 
return 1234; 
} 
} 
public static short main(java.lang.String[]); 
flags: АСС PUBLIC, АСС STATIC 
Code: 
stack=1, locals=1, args_size=1 
0: sipush 1234 
3: ireturn 
...И char! 
public class ret 
{ 
public static char main(String[] args) 
{ 
return 'A'; 
} 
} 


public static char main(java.lang.String[]); 
flags: АСС PUBLIC, АСС _ STATIC 


Code: 
stack=1, locals=1, args_size=1 
0: bipush 65 
2: ireturn 


bipush означает «push byte». 


Нужно сказать, что Char в Java, это 16-битный символ в кодировке UTF-16, и он 
эквивалентен Short, но А5СІІ-код символа «А» это 65, и можно воспользоваться 
инструкцией для передачи байта в стек. 


Попробуем также byte: 


public class геїс 


{ 
public static byte main(String[] args) 
{ 
return 123; 
} 
} 


public static byte main(java.lang.String[]); 
flags: АСС PUBLIC, АСС _ STATIC 


Code: 
stack=1, locals=1, args_size=1 
0: bipush 123 
2: ireturn 
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Кто-то может спросить, зачем заморачиваться использованием 16-битного ти- 
па short, который внутри все равно 32-битный integer? 


Зачем использовать тип данных Char, если это то же самое что и тип short? 
Ответ прост: для контроля типов данных и читабельности исходников. 


char может быть эквивалентом Short, но мы быстро понимаем, что это ячейка 
для символа в кодировке ОТЕ-16, а не для какого-то другого целочисленного 
значения. 


Когда используем short, мы можем показать всем, что диапазон этой перемен- 
ной ограничен 16-ю битами. 


Очень хорошая идея использовать тип boolean где нужно, вместо int для тех 
же целей, как это было в Си. 


В Java есть также 64-битный целочисленный тип: 


public class ret3 
{ 

public static long main(String[] args) 

{ 

return 1234567890123456789L; 

} 

} 
Листинг 4.4: Constant pool 
#2 = Long 12345678901234567891 


public static long main(java.lang.String[]); 
flags: АСС PUBLIC, АСС _ STATIC 


Code: 
stack=2, locals=1, args_size=1 
0: ldc2 w #2 // long 12345678901234567891 
3: 1ге+игп 


64-битное число также хранится в пуле констант, 11с2 м загружает его и lreturn 
(long return) возвращает его. 


Инструкция 11с2 м также используется для загрузки чисел с плавающей Toy- 
кой двойной точности (которые также занимают 64 бита) из пула констант: 


public class геї 
{ 
public static double main(String[] args) 
{ 
return 123.456d; 
} 
} 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


847 


Листинг 4.5: Constant роо! 


#2 = Double 123.456а 


public static double таіп (јама. 1апд.51гіпд[]); 
flags: АСС PUBLIC, АСС ЅТАТІС 


Соде: 
stack=2, 1оса15=1, агд$_517е=1 
0: 14с2 w #2 // double 123.4564 
3: аге+игп 


аге+игп означает «return double». 


И наконец, числа с плавающей точкой одинарной точности: 


public class геї 


{ 

public static float main(String[] args) 

{ 

return 123.456f; 

} 

} 
Листинг 4.6: Constant pool 
#2 = Float 123.456f 


public static float main(java.lang.String[]); 
flags: АСС PUBLIC, АСС _ STATIC 


Code: 
stack=1, locals=1, args_size=1 
0: 1ас #2 // float 123.456f 
2: freturn 


Используемая здесь инструкция ldc та же, что и для загрузки 32-битных цело- 
численных чисел из пула констант. 


freturn означает «return float». 


А что насчет тех случаев, когда функция ничего He возвращает? 


public class геї 


{ 
public static void main(String[] args) 
{ 
return; 
} 
} 
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public static void таіп (јама. 1апд.5%г1п9[]); 
flags: ACC PUBLIC, АСС ЅТАТІС 
Code: 
stack=0, 1оса15=1, args_size=1 
0: return 


Это означает, что инструкция return используется для возврата управления 
без возврата какого-либо значения. 


Зная все это, по последней инструкции очень легко определить тип возвраща- 
емого значения функции (или метода). 


4.1.3. Простая вычисляющая функция 


Продолжим с простой вычисляющей функцией. 


public class calc 


{ 
public static int half(int a) 
{ 
return a/2; 
} 
} 


Это тот случай, когда используется инструкция iconst_2: 


public static int half(int); 
flags: АСС PUBLIC, АСС STATIC 


Code: 
stack=2, locals=1, args_size=1 
0: iload 0 
1: iconst_2 
2: idiv 
3: ireturn 


iload_0 Берет нулевой аргумент функции и заталкивает его в стек. iconst_ 2 
заталкивает в стек 2. 


Вот как выглядит стек после исполнения этих двух инструкций: 


+———+ 
TOS ->| 2 | 
+———+ 
Га | 
+-——+ 


idiv просто берет два значения на вершине стека (TOS), делит одно на другое 
и оставляет результат на вершине (TOS): 


TOS ->| result | 
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1гефигп берет его и возвращает. 


Продолжим с числами с плавающей запятой, двойной точности: 


public class calc 


{ 

public static double half _double(double а) 

{ 

return a/2.0; 

} 

} 
Листинг 4.7: Constant pool 
#2 = Double 2. 0d 


public static double half_double(double); 
flags: АСС PUBLIC, АСС STATIC 


Code: 
stack=4, locals=2, args_size=1 
0: dload 0 
1: ldc2 w #2 // double 2.0d 
4: ddiv 
5: dreturn 


Почти то же самое, но инструкция 14с2 м используется для загрузки констан- 
ты 2.0 из пула констант. 


Также, все три инструкции имеют префикс а, что означает, что они работают 
с переменными типа double. 


Теперь перейдем к функции с двумя аргументами: 


public class calc 


{ 
public static int sum(int a, int b) 
{ 
return a+b; 
} 
} 


public static int sum(int, int); 
flags: АСС PUBLIC, АСС STATIC 


Code: 
stack=2, locals=2, args_size=2 
0: iload 0 
1: iload_1 
2: iadd 
3: ireturn 


iload_0 загружает первый аргумент функции (a), iload_1 — второй (b). 


BOT так выглядит стек после исполнения обоих инструкций: 
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+———+ 
TOS ->| b | 
+———+ 
Га | 
+-——+ 


iadd складывает два значения и оставляет результат на TOS: 


Расширим этот пример до типа данных long: 


public static long 15ит(Топд а, long b) 
{ 


} 


return a+b; 


получим: 


public static long lsum(long, long); 
flags: АСС PUBLIC, АСС _ STATIC 


Code: 
stack=4, locals=4, args_size=2 
0: lload 0 
1: lload 2 
2: ladd 
3: lreturn 


Вторая инструкция lload берет второй аргумент из второго слота. 


Это потому что 64-битное значение /опд занимает ровно два 32-битных слота. 


Немного более сложный пример: 


public class calc 


{ 
public static int mult_add(int a, int b, int c) 
{ 
return ажб+с; 
} 
} 


public static int mult_add(int, int, int); 
flags: АСС PUBLIC, АСС _ STATIC 
Code: 
stack=2, locals=3, args_size=3 
: iload 0 
iload_1 
imul 
iload_2 
iadd 
ireturn 


льо мно 
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Первый шаг это умножение. Произведение остается на TOS: 


+--------- + 
Т05 ->| c | 
+--------- + 
| product | 
+--------- + 


Теперь инструкция iadd может сложить два значения. 


4.1.4. Модель памяти в ЈММ 


х86 и другие низкоуровневые среды используют стек для передачи аргумен- 
тов и как хранилище локальных переменных. JVM устроена немного иначе. 


Тут есть: 
• Массив локальных переменных (А7). 


Используется как хранилище для аргументов функций и локальных пере- 
менных. 


Инструкции вроде і1оаа 0 загружают значения оттуда. іѕіоге записыва- 
ет значения туда. 


В начале идут аргументы функции: начиная с 0, или с 1 (если нулевой 
аргумент занят указателем this. 


Затем располагаются локальные переменные. 

Каждый слот имеет размер 32 бита. 

Следовательно, значения типов long и double занимают два слота. 
• Стек операндов (или просто «стек»). 


Используется для вычислений и для передачи аргументов во время вызо- 
ва других функций. 


В отличие от низкоуровневых сред вроде х86, здесь невозможно работать 
со стеком без использования инструкций, которые явно заталкивают или 
выталкивают значения туда/оттуда. 


• Куча (heap). Используется как хранилище для объектов и массивов. 


Эти 3 области изолированы друг от друга. 


7 (Јама) Local Variable Array (массив локальных переменных) 
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4.1.5. Простой вызов функций 


Матв . гапдот() возвращает псевдослучайное число в пределах [0.0 ...1.0), но 
представим, по какой-то причине, нам нужна функция, возвращающая число 
в пределах [0.0 ...0.5): 


public class HalfRandom 


{ 
public static double f() 
{ 
return Math. гапаот() /2; 
} 
} 
Листинг 4.8: Constant pool 
#2 = Methodref #18.#19 // java/lang/Math. random: ()0 
#3 = Double 2.04 
#12 = Utf8 ()р 
#18 = Class #22 // јама/1апд/Ма+һ 
#19 = МатеАпаТуре #23:#12 // гапаот: ()0 
#22 = 0118 java/lang/Math 
#23 = Utf8 random 


public static double f(); 
flags: АСС PUBLIC, АСС STATIC 


Code: 
stack=4, locals=0, args_size=0 
0: invokestatic #2 // Method java/lang/Math. random: ()D 
3: ldc2 w #3 // double 2.0d 
6: ddiv 
7: dreturn 


invokestatic вызывает функцию Math. random() и оставляет результат Ha TOS. 
Затем результат делится Ha 2.0 и возвращается. 

Но как закодировано имя функции? 

Оно закодировано в пуле констант используя выражение Methodref. 

Оно определяет имена класса и метода. 


Первое поле Меїһойге? указывает на выражение Class, которое, в свою оче- 
редь, указывает на обычную текстовую строку («java/lang/Math»). 


Второе выражение Меїһойге? указывает на выражение МатеАпаТуре, которое 
также имеет две ссылки на строки. 


Первая строка это «random», это имя метода. 


Вторая строка это «()О», которая кодирует тип функции. Это означает, что 
возвращаемый тип — double (отсюда D в строке). 
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Благодаря этому 1) ЈУМ проверяет корректность типов данных; 2) Јама-декомпиляторы 
могут восстанавливать типы данных из сіаѕѕ5-файлов. 


Наконец попробуем пример «Hello, world!»: 


public class HelloWorld 
{ 
public static void main(String[] args) 
{ 
System.out.println("Hello, World"); 
} 
} 
Листинг 4.9: Constant pool 
#2 = Fieldref #16.#17 // java/lang/System.out:Ljava/ioz 
S /PrintStream; 
#3 = String #18 // Hello, World 
#4 = Methodref #19.#20 // јама/іо/РгіпіЅїгеат.ргіпї1п: (2 
 Ljava/lang/String;)V 
#16 = Class #23 // java/lang/System 
#17 = NameAndType #24: #25 // ои: Іјама/іо/РгіпіЅігеат; 
#18 = 0118 Hello, World 
#19 = Class #26 // java/io/PrintStream 
#20 = NameAndType #27 : #28 // println:(Ljava/lang/String;)V 
#23 = Utf8 java/lang/System 
#24 = Utf8 out 
#25 = Utf8 Ljava/io/PrintStream; 
#26 = Utf8 java/io/PrintStream 
#27 = Utf8 println 
#28 = Utf8 (Ljava/lang/String;)V 
public static void main(java.lang.String[]); 
flags: АСС PUBLIC, АСС _ STATIC 
Code: 
stack=2, locals=1, args_size=1 
0: getstatic #2 // Field java/lang/System.out:Ljava/io/z 
S PrintStream; 
3: ldc #3 // String Hello, World 
5: invokevirtual #4 // Method јама/іо/РгіпіЅігеат.ргіпї\п: (2 
S Ljava/lang/String;)V 
8: return 


1ас по смещению З берет указатель (или адрес) на строку «Hello, World» в пуле 
констант и заталкивает его в стек. 


В мире Java это называется reference, но это скорее указатель или просто адрес 
8 


80 разнице между указателями и геѓегепсе в С++: 3.19.3 (стр. 712). 
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Уже знакомая нам инструкция invokevirtual берет информацию о функции 
(или методе) println из пула констант и вызывает её. 


Как мы можем знать, есть несколько методов println, каждый предназначен 
для каждого типа данных. 


В нашем случае, используется та версия println, которая для типа данных 
String. 


Что насчет первой инструкции getstatic? 


Эта инструкция берет reference (или адрес) поля объекта System.out и затал- 
кивает его в стек. 


Это значение работает как указатель this для метода рг1пї1п. 


Таким образом, внутри, метод println берет на вход два аргумента: 1) this, т.е. 
указатель на объект ?; 2) адрес строки «Hello, World». 


Действительно, ргіпі1п() вызывается как метод в рамках инициализирован- 
ного объекта System. out. 


Для удобства, утилита javap пишет всю эту информацию в комментариях. 


4.1.6. Вызов Беер() 


Вот простейший вызов двух функций без аргументов: 


public static void main(String[] args) 


{ 
}; 


јама. амі. Тоо1кі+. деїреҒаи1+Тоо1Ккі+() .Беер(); 


public static void таіп (јама. 1апд.5%г1п9[]); 
flags: АСС PUBLIC, АСС ЅТАТІС 
Code: 
stack=1, locals=1, args_size=1 

0: invokestatic #2 // Method java/awt/Toolkit. 2 

У getDefaultToolkit:()Ljava/awt/Toolkit; 
3: invokevirtual #3 // Method јама/ам+/Тоо1кі+. Беер: ()\ 
6: return 


Первая invokestatic по смещению 0 вызывает 
java.awt.Toolkit.getDefaultToolkit(), которая возвращает 
reference (указатель) на объект класса Toolkit. 


Инструкция invokevirtual по смещению 3 вызывает метод беер () этого клас- 
са. 


ЭИли «экземпляр класса» в некоторой русскоязычной литературе. 
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4.1.7. Линейный конгруэнтный ГПСЧ 


Попробуем простой генератор псевдослучайных чисел, который мы однаждь 
уже рассматривали в этой книге (1.29 (стр. 432)): 


public class LCG 
{ 
public static int rand_state; 


public void my_srand (int init) 


{ 
} 


rand_state=init; 


public static int RNG а=1664525; 
public static int RNG с=1013904223; 


public int my_rand () 

{ 
rand_state=rand_state*RNG a; 
rand_state=rand_state+RNG C; 
return rand_state & 0x7fff; 


Здесь пара полей класса, которые инициализируются в начале. Но как? 


В выводе javap мы можем найти конструктор класса: 


static {}; 
flags: АСС ЅТАТІС 
Соде: 
stack=1, 1оса15=0, args_size=0 
0: 1ас #5 // int 1664525 
2: putstatic #3 // Field RNG а:І 
5: 1ас #6 // int 1013904223 
7: putstatic #4 // Field RNG с:І 
10: return 


Так инициализируются переменные. 


В№б_а занимает третий слот в классе и В№б с — четвертый, и риїѕТаїіс запи- 
сывает туда константы. 


Функция ту 5гапа() просто записывает входное значение в 
гапа $Тате: 


public void my_srand(int); 
flags: АСС PUBLIC 


Code: 
stack=1, locals=2, args_size=2 
0: iload_1 
1: putstatic #2 // Field rand_state:I 
4: return 
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Поаа_1 берет входное значение и заталкивает его в стек. Но почему не і1оаа 0? 


Это потому что эта функция может использовать поля класса, а переменная 
this также передается в эту функцию как нулевой аргумент. 


Поле rand_state занимает второй слот в классе, так что putstatic копирует 
переменную из TOS во второй слот. 


Теперь ту _гапа(): 


public int ту гапа(); 
flags: ACC PUBLIC 
Code: 
stack=2, 1оса15=1, args_size=1 

0: getstatic #2 // Field rand_state:I 
3: getstatic #3 // Field RNG а:І 
6: imul 
7: putstatic #2 // Field rand_state:I 
10: getstatic #2 // Field rand_state:I 
13: getstatic #4 // Field RNG с:І 
16: iadd 
17: putstatic #2 // Field rand_state:I 
20: getstatic #2 // Field rand_state:I 
23: sipush 32767 
26: iand 
27: ireturn 


Она просто загружает все переменные из полей объекта, производит с ними 
операции и обновляет значение rand_state, используя инструкцию putstatic. 


По смещению 20, значение rand_state перезагружается снова (это потому что 
оно было выброшено из стека перед этим, инструкцией риїѕТаїіс). 


Это выглядит как неэффективный код, но можете быть уверенными, JVM обыч- 
но достаточно хорош, чтобы хорошо оптимизировать подобные вещи. 


4.1.8. Условные переходы 


Перейдем к условным переходам. 


public class abs 


{ 
public static int abs(int a) 
{ 
if (a<0) 
return -а; 
return a; 
} 
} 


public static int abs(int); 
flags: АСС PUBLIC, АСС STATIC 
Code: 
stack=1, locals=1, args_size=1 
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iload 0 

ifge 7 
iload 0 

ineg 

ireturn 

iload 0 

ireturn 


со Моол Бн © 


ifge переходит на смещение 7 если значение на TOS больше или равно 0. 


Не забывайте, любая инструкция ifXX выталкивает значение (с которым будет 
производиться сравнение) из стека. 


іпед просто меняет знак значения на TOS. 


Еще пример: 
public static int тіп (int a, int b) 
{ 
if (a>b) 
return b; 
return a; 
} 
Получаем: 


public static int тіп(іпї, int); 
flags: АСС PUBLIC, АСС _ STATIC 
Code: 
stack=2, locals=2, args_size=2 
iload 0 
iload_1 
if_icmple 7 
iload_1 
ireturn 
iload 0 
ireturn 


со ч Сбу\л М2 н © 


11_1стр1е выталкивает два значения и сравнивает их. 
Если второе меньше первого (или равно), происходит переход на смещение 7. 


Когда мы определяем функцию тах () ... 


public static int max (int а, int b) 
{ 
if (a>b) 
return a; 
return b; 


...итоговый код точно такой же, только последние инструкции iload (Ha cme- 
щениях 5 и 7) поменяны местами: 
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public static int тах (іпї, int); 
flags: АСС PUBLIC, АСС _ STATIC 
Code: 
stack=2, locals=2, args_size=2 
: iload 0 
iload_1 
if_icmple 7 
iload 0 
ireturn 
iload_1 
ireturn 


со моол мно 


Более сложный пример: 


public class сопа 


{ 
public static void f(int i) 
{ 
if (i<100) 
System.out.print("<100"); 
if (i==100) 
System. оиї.ргіпї ("==100") ; 
if (1>100) 
буфет. оиї. рг1п* (">100"); 
if (1==0) 
буфет. оиї.ргіпї("==0") ; 
} 
} 


public static void f(int); 
flags: АСС PUBLIC, АСС STATIC 


Code: 
stack=2, locals=1, args_size=1 

0: iload 0 

1: bipush 100 

3: if_icmpge 14 

6: getstatic #2 // Field java/lang/System.out:Ljava/io/z 
S PrintStream; 

9: ldc #3 // String <100 

11: invokevirtual #4 // Method java/io/PrintStream.print: ( 2 
 Ljava/lang/String;)V 

14: iload 0 

15: bipush 100 

17: if_icmpne 28 

20: getstatic #2 // Field java/lang/System.out:Ljava/io/z 
S PrintStream; 

23: ldc #5 // String ==100 

25: invokevirtual #4 // Method java/io/PrintStream.print:(z2 
ъ Ljava/lang/String;)V 

28: iload_0 

29: bipush 100 

31: if_icmple 42 
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34: деїѕіаїіс #2 // Field java/lang/System.out:Ljava/io/z 
S PrintStream; 

37: ldc #6 // String >100 

39: invokevirtual #4 // Method java/io/PrintStream.print: ( 2 
 Ljava/lang/String;)V 

42: iload 0 

43: ifne 54 

46: getstatic #2 // Field java/lang/System.out:Ljava/io/z 
S PrintStream; 

49: 1ас #7 // String == 

51: invokevirtual #4 // Method java/io/PrintStream.print: ( 2 
ъ Ljava/lang/String;)V 

54: return 


if істрде Выталкивает два значения и сравнивает их. 


Если второй больше первого, или равен первому, происходит переход на сме- 
щение 14. 


if_icmpne и і? істр1е работают одинаково, но используются разные условия. 
По смещению 43 есть также инструкция і?пе. 


Название неудачное, её было бы лучше назвать ifnz (переход если перемен- 
ная на TOS не равна нулю). 


И вот что она делает: производит переход на смещение 54, если входное зна- 
чение не ноль. 


Если ноль, управление передается на смещение 46, где выводится строка «==0». 


N.B.: В JVM нет беззнаковых типов данных, так что инструкции сравнения pa- 
ботают только со знаковыми целочисленными значениями. 


4.1.9. Передача аргументов 


Теперь расширим пример min()/max(): 


public class тіптах 


{ 
public static int min (int a, int b) 
{ 
if (a>b) 
return b; 
return a; 
} 
public static int max (int a, int b) 
{ 
if (a>b) 
return a; 
return b; 
} 


public static void main(String[] args) 
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{ 
int а=123, 0=456; 
int тах уа\че=тах(а, b); 
int min_value=min(a, b); 
System.out.println(min value); 
System.out.println(max value); 
} 


Вот код функции main(): 


public static void main(java.lang.String[]); 
flags: АСС PUBLIC, АСС STATIC 


Code: 
stack=2, locals=5, args_size=1 
0: bipush 123 
2: istore_1 
3: sipush 456 
6: istore_2 
7: iload_1 
8: iload_2 
9: invokestatic #2 // Method тах: (ТТ)Т 
12: іѕїоге 3 
13: і1оаа 1 
14: Цоаа 2 
15: invokestatic #3 // Method тіп: (ІІ)І 
18: іѕїоге 4 
20: getstatic #4 // Field јама/1апд/Ѕуѕіет. ои: 1] ауа/10/ 2 
S PrintStream; 
23: iload 4 
25: invokevirtual #5 // Method java/io/PrintStream.println: (Ти 
SV 
28: getstatic #4 // Field java/lang/System.out:Ljava/io/z 
S PrintStream; 
31: iload_3 
32: invokevirtual #5 // Method java/io/PrintStream.println: (Ти 
SV 
35: return 


В другую функцию аргументы передаются в стеке, а возвращаемое значение 
остается на TOS. 


4.1.10. Битовые поля 


Все побитовые операции работают также, как и в любой другой ISA: 


public static int set (int a, int b) 


{ 
} 


return a | 1<<b; 


public static int clear (int a, int b) 


{ 
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return а & (-(1<<6)); 


public static int set(int, int); 
flags: АСС PUBLIC, АСС _ STATIC 
Code: 

stack=3, locals=2, args_size=2 

: iload 0 

iconst_1 

iload_1 

ishl 

ior 

ireturn 


сл Био мно 


public static int clear(int, int); 
flags: АСС PUBLIC, АСС _ STATIC 
Code: 

stack=3, locals=2, args_size=2 

: iload 0 

iconst_1 

iload_1 

ishl 

iconst_m1 

ixor 

iand 

ireturn 


моол Бошо оҥ с 


ісопѕї т1 загружает -1 в стек, это то же что и значение 0хЕЕЕЕЕЕЕЕ. 


Операция XOR с 9хЕЕЕЕЕЕЕЕ в одном из операндов, это тот же эффект что ин- 
вертирование всех бит. 


Попробуем также расширить все типы данных до 64-битного /опд: 


public static long 15еї (long а, int b) 


{ 
return a | 1<<b; 
} 
public static long lclear (long a, int b) 
{ 
return a & (~(1<<b)); 
} 


public static long lset(long, int); 
flags: АСС PUBLIC, АСС _ STATIC 
Code: 

stack=4, locals=3, args_size=2 

: 11оаа 0 

iconst_1 

iload_2 

ishl 

121 


иом н о 
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5: 10г 
6: 1ге+игп 


public static long 1с1еаг(10опд, int); 
flags: АСС PUBLIC, АСС _ STATIC 
Code: 

stack=4, locals=3, args_size=2 

: 11оаа 0 

iconst_1 

iload 2 

ishl 

iconst_m1 

ixor 

121 

land 

lreturn 


со моол > ш) мю ҥе с 


Код такой же, но используются инструкции с префиксом /, которые работают 


с 64-битными значениями. 


Так же, второй аргумент функции все еще имеет тип int, и когда 32-битное 
число в нем должно быть расширено до 64-битного значения, используется ин- 
струкция 121, которая расширяет значение типа integer в значение типа long. 


4.1.11. Циклы 


public class Loop 


{ 
public static void main(String[] args) 
{ 
for (int i = 1; i <= 10; i++) 
{ 
System.out.println(i); 
} 
} 
} 


public static void main(java.lang.String[]); 
flags: АСС PUBLIC, АСС _ STATIC 


Code: 
stack=2, locals=2, args_size=1 

0: iconst_1 

1: istore_1 

2: iload_1 

3: bipush 10 

5: if істрої 21 

8: getstatic #2 // Field java/lang/System.out:Ljava/io/ 
S /PrintStream; 

11: iload_1 

12: invokevirtual #3 // Method java/io/PrintStream.println/z 
S :(I)V 

15: iinc 1, 1 
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18: доїо 2 
21: return 


ісопѕї 1 загружает 1 в TOS, іѕїоге 1 сохраняет её в первом слоте LVA. Почему 
не нулевой слот? 


Потому что функция та1п() имеет один аргумент (массив String), и указатель 
на него (или геѓегепсе) сейчас в нулевом слоте. 


Так что локальная переменная / всегда будет в первом слоте. 
Инструкции по смещениями З и 5 сравнивают ic 10. 


Если і больше, управление передается на смещение 21, где функция заканчи- 
вает работу. 


Если нет, вызывается println. 
і перезагружается по смещению 11, для ргіпї1п. 


Кстати, мы вызываем метод println для типа данных integer, и мы видим это 
в комментариях: «(1)\» (/ означает integer и V означает, что возвращаемое 3Ha- 
чение имеет тип void). 


Когда ргіпї1п заканчивается, / увеличивается на 1 по смещению 15. 


Первый операнд инструкции это номер слота (1), второй это число (1) для при- 
бавления. 


goto это просто GOTO, она переходит на начало цикла по смещению 2. 


Перейдем к более сложному примеру: 


public class Fibonacci 


{ 
public static void main(String[] args) 
{ 
int limit = 20, f = 0, g= 1; 
for (int i = 1; i <= limit; i++) 
{ 
f=f+g; 
g=f-g; 
System.out.println(f); 
} 
} 
} 


public static void main(java.lang.String[]); 
flags: АСС PUBLIC, АСС _ STATIC 


Code: 
stack=2, locals=5, args_size=1 
0: bipush 20 
2: istore_1 
3: iconst 0 
4: istore_2 
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5: ісопѕї 1 
6: istore 3 
7: ісопѕї 1 
8: istore 4 
10: iload 4 
12: і1оаа 1 
13: ЇТ істрдї 37 
16: Цоаа 2 
17: iload 3 
18: іааа 
19: іѕїоге 2 
20: іЛоаа 2 
21: іЛоаа 3 
22: isub 
23: іѕїоге 3 
24: деїѕТаїіс #2 // Field јама/1апд/ЅуѕТет. ои: јама/іо, 
S /Ргіпїбїгеат; 
27: іЛоаа 2 
28: invokevirtual #3 // Method ]ауа/1о/Рг1пї5%геат.рг1пї1п/ 
„> :(I)V 
31: ііпс 4, 1 
34: goto 10 
37: return 


Вот карта слотов в LVA: 
• 0 — единственный аргумент функции та1п() 


• 1 — limit, всегда содержит 20 


2-Е 
° 3—9 
“4—1 


Мы видим, что компилятор Java расположил переменные в слотах LVA в точно 
таком же порядке, в котором переменные были определены в исходном коде. 


Существуют отдельные инструкции іѕїоге для слотов 0, 1, 2, 3, но не 4 и 6o- 
лее, так что здесь есть іѕіоге с дополнительным операндом по смещению 8, 
которая имеет номер слота в операнде. 


Та же история c iload по смещению 10. 


Но не слишком ли это сомнительно, выделить целый слот для переменной limit, 
которая всегда содержит 20 (так что это по сути константа), и перезагружать 
её так часто? 


ЛТ-компилятор в JVM обычно достаточно хорош, чтобы всё это оптимизировать. 


Самостоятельное вмешательство в код, наверное, того не стоит. 


4.1.12. switch() 


Выражение switch() реализуется инструкцией tableswitch: 
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public static void f(int а) 


{ 
switch (a) 
{ 
case 0: System.out.println("zero"); break; 
case 1: System.out.println("one\n"); break; 
case 2: System.out.println("two\n"); break; 
case 3: System.out.println("three\n"); break; 
case 4: System.out.println("four\n"); break; 
default: System.out.println("something unknown\n"); break; 
$; 

} 


Проще не бывает: 


public static void f(int); 
flags: АСС PUBLIC, АСС STATIC 


Code: 
stack=2, locals=1, args_size=1 
0: iload 0 
1: tableswitch { // 0 їо 4 
0: 36 
1: 47 
2: 58 
3: 69 
4: 80 
default: 91 
} 
36: getstatic #2 // Field 1]1ауа/1апд/5у51їет. оицї: 
S PrintStream; 
39: 1ас #3 // String zero 
41: invokevirtual #4 // Method java/io/PrintStream. 
 Ljava/lang/String;)V 
44: goto 99 
47: getstatic #2 // Field java/lang/System. out: 
S PrintStream; 
50: ldc #5 // String one\n 
52: invokevirtual #4 // Method java/io/PrintStream. 
S Ljava/lang/String;)V 
55: goto 99 
58: getstatic #2 // Field java/lang/System. out: 
S PrintStream; 
61: 1ас #6 // String two\n 
63: invokevirtual #4 // Method java/io/PrintStream. 
ъ Ljava/lang/String;)V 
66: goto 99 
69: getstatic #2 // Field java/lang/System. out: 
S PrintStream; 
72: ldc #7 // String three\n 
74: invokevirtual #4 // Method java/io/PrintStream. 
S Ljava/lang/String;)V 
77: goto 99 
80: getstatic #2 // Field java/lang/System. out: 


Ljava/io/ р 


println:(7 


Ljava/io/ р 


println: (7 


Ljava/io/ р 


рии пт: (2 


Ljava/io/ 2 


ргіпї1п: (2 


Ljava/io/ 2 
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4 PrintStream; 


83: ldc #8 // String four\n 

85: invokevirtual #4 // Method јама/іо/РгіпіЅігеат. ргіпі\п: (2 
S Ljava/lang/String;)V 

88: goto 99 

91: getstatic #2 // Field java/lang/System.out:Ljava/io/2 
S PrintStream; 

94: 1ас #9 // String something unknown\n 

96: invokevirtual #4 // Method јама/іо/РгіпіЅігеат. ргіпі\п: (2 
ъ Іјама/Лапд/Ѕ&гіпо ; )\ 

99: return 


4.1.13. Массивы 
Простой пример 


Создадим массив из 10-и чисел и заполним его: 


public static void main(String[] args) 


{ 
int a[]=new int[10]; 
for (int 1=0; 1<10; i++) 
а[1]=1; 
dump (а); 
} 


public static void таіп (јама. 1апд.5%г1п9[]); 
flags: АСС PUBLIC, АСС ЅТАТІС 
Code: 
stack=3, locals=3, args_size=1 
0: bipush 10 
2: newarray int 
4: astore 1 
5: iconst 0 
6: istore_2 
7: iload 2 
8: bipush 10 
10: if_icmpge 23 
13: aload_1 
14: iload_2 
15: iload 2 
16: iastore 
17: iinc 2,1 
20: goto 7 
23: aload_1 
24: invokestatic #4 // Method аитр: ([Т)\ 
27: return 


Инструкция пемаггау создает объект массива из 10 элементов типа int. 
Размер массива выставляется инструкцией bipush и остается на TOS. 


Тип массива выставляется в операнде инструкции пемаггау. 
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После исполнения пемаггау, reference (или указатель) только что созданного 
в куче (heap) массива остается на TOS. 


аѕїоге 1 сохраняет reference на него в первом слоте LVA. 


Вторая часть функции та1п() это цикл, сохраняющий значение / в соответству- 
ющий элемент массива. 


а1оаа 1 берет reference массива и сохраняет его в стеке. 


іаѕіоге затем сохраняет значение из стека в массив, геѓегепсе на который в 
это время находится на TOS. 


Третья часть функции та1п() вызывает функцию дитр(). 
Аргумент для нее готовится инструкцией а1оаа 1 (смещение 23). 


Перейдем к функции дитр (): 


public static void аитр(іпї а[]) 
{ 
for (int i=0; i<a.length; i++) 
System.out.println(a[i]); 
} 
public static void dump(int[]); 
flags: АСС PUBLIC, АСС _ STATIC 
Code: 
stack=3, locals=2, args_size=1 
0: iconst 0 
1: istore_1 
2: iload_1 
3: aload 0 
4: arraylength 
5: 11_1стрде 23 
8: getstatic #2 // Field java/lang/System.out:Ljava/io/z2 
ъ PrintStream; 
11: а1оаа 0 
12: і1оаа 1 
13: іа1оаа 
14: invokevirtual #3 // Method јама/іо/РгіпіЅігеат.ргіпі1п: (І) / 
М 
17: ііпс 1, 1 
20: goto 2 
23: return 


Входящий reference на массив в нулевом слоте. 


Выражениеа. length в исходном коде конвертируется в инструкцию arraylength, 
она берет reference на массив и оставляет размер массива на TOS. 


Инструкция іа1оаа по смещению 13 используется для загрузки элементов мас- 
сива, она требует, чтобы в стеке присутствовал геѓегепсе на массив (подготов- 
ленный а\оаа 0 на 11), а также индекс (подготовленный і1оаа 1 по смещению 
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Нужно сказать, что инструкции с префиксом а могут быть неверно поняты, как 


инструкции работающие с массивами (аггау). Это неверно. 


Эти инструкции работают с геѓегепсе-ами на объекты. 


А массивы и строки это тоже объекты. 


Суммирование элементов массива 


Еще один пример: 


public class Аггаубит 


{ 
public static int f (int[] a) 
{ 
int sum=0; 
for (int i=0; i<a.length; i++) 
sum=sum+a[i]; 
return sum; 
} 
} 


public static int f(int[]); 
flags: АСС PUBLIC, АСС _ STATIC 
Code: 
stack=3, locals=3, args_size=1 
0: iconst 0 


1: istore_1 

2: iconst 0 

3: istore_2 

4: iload_2 

5: aload_0 

6: arraylength 

7: if_icmpge 22 
10: iload_1 

11: aload 0 

12: iload 2 

13: iaload 

14: iadd 

15: istore_1 

16: iinc 2, 1 
19: goto 4 
22: iload_1 


23: ireturn 


Нулевой слот B LVA содержит указатель (reference) на входной массив. 


Первый слот LVA содержит локальную переменную sum. 


Единственный аргумент та1п() это также массив 


Будем использовать единственный аргумент та1п(), который массив строк 
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public class UseArgument 


{ 
public static void main(String[] args) 
{ 
System.out.print("Hi, "); 
System.out.print(args[1]); 
System.out.println(". How are you?"); 
} 
} 


Нулевой аргумент это имя программы (Kak в Си/Си++, ит. д.), так что первый 
аргумент это тот, что пользователь добавил первым. 


public static void таіп (јама. 1апд.5%г1п9[]); 
flags: АСС PUBLIC, АСС ЅТАТІС 


Code: 
stack=3, locals=1, args_size=1 
0: getstatic #2 // Field java/lang/System.out:Ljava/io/z 
S PrintStream; 
3: ldc #3 // String Hi, 
5: invokevirtual #4 // Method java/io/PrintStream.print: (7 
S Ljava/lang/String;)V 
8: getstatic #2 // Field java/lang/System.out:Ljava/io/z2 
S PrintStream; 
11: а1оаа 0 
12: ісопѕї 1 
13: aaload 
14: іпуокемігіџа1 #4 // Method јама/іо/Ргіпібі геат.ргіпі: (7 
ъ Ljava/lang/String;)V 
17: getstatic #2 // Field јама/1апд/Ѕуѕет. ои :ЁЕ]ауа/10/ 2 
S PrintStream; 
20: 1ас #5 // String . How are you? 
22: invokevirtual #6 // Method java/io/PrintStream.println: (2 
 Ljava/lang/String;)V 
25: return 


aload_0 Ha 11 загружают reference на нулевой слот LVA (первый и единствен- 
ный аргумент main()). 


ісопѕї 1 и аа1оаа на 12 и 13 берут reference на первый (считая с 0) элемент 
массива. 


Reference на строковый объект на TOS по смещению 14, и оттуда он берется 
методом println 


Заранее инициализированный массив строк 


class Month 


{ 
public static String[] months = 


{ 


"January", 
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"February", 
"March", 
"April", 
"May", 
"June", 
"July", 
"August", 
"September", 
"October", 
"November", 
"December" 


}; 


public String get_month (int i) 
{ 


}; 


return топЕћѕ [1]; 


Функция get_month() проста: 


public java.lang.String де топ+һ (іпї); 
flags: АСС PUBLIC 


Code: 
stack=2, locals=2, args_size=2 
0: getstatic #2 // Field months: [Ljava/lang/String; 
3: iload_1 
4: aaload 
5: areturn 


aaload работает с массивом геѓегепсе-ов. 


Строка в Java это объект, так что используются а-инструкции для работы с 
ними. 


агефигп возвращает reference на объект String. 


Как инициализируется массив months[]? 


static {}; 

flags: АСС ЅТАТІС 

Code: 

stack=4, locals=0, args_size=0 

0: bipush 12 

2: anewarray #3 // class java/lang/String 
5: dup 

6: iconst 0 

7: Лас #4 // String January 

9: aastore 
10: dup 
11: iconst_1 
12: 1ас #5 // String February 
14: aastore 
15: dup 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


871 


16: ісопѕї 2 


17: 1ас 

19: aastore 
20: аир 

21: ісопѕї 3З 
22: Лас 

24: aastore 
25: аир 

26: ісопѕї 4 
27: Лас 

29: ааѕіоге 
30: аир 

31: ісопѕї 5 
32: 1ас 

34: аазфоге 
35: аир 

36: bipush 
38: 1ас 

40: аазфоге 
41: dup 

42: ріриѕћһ 
44: 1ас 

46: аазфоге 
47: дир 

48: bipush 
50: 1ас 

52: ааѕіоге 
53: аир 

54: bipush 
56: 1ас 

58: ааѕіоге 
59: аир 

60: bipush 
62: 1ас 

64: аазфоге 
65: аир 

66: bipush 
68: 1ас 


70: аазфоге 
71: риїѕіаїіс 
74: return 


#6 


#7 


#8 


// 


// 


// 


// 


// 


// 


// 


// 


// 


String 


String 


String 


String 


String 


String 


String 


String 


String 


String 


March 


April 


May 


June 


July 


August 


September 


October 


November 


December 


// Field months: [Ljava/lang/String; 


апемаггау создает новый массив геѓегепсе-ов (отсюда префикса). 


Тип объекта определяется в операнде апемаггау, там текстовая строка 


«java/lang/String». 


bipush 12 перед anewarray устанавливает размер массива. 


Новая для нас здесь инструкция: dup. 


Это стандартная инструкция в стековых компьютерах (включая ЯП Forth), Ko- 
торая делает дубликат значения на TOS. 


Кстати, FPU 80х87 это тоже стековый компьютер, и в нем есть аналогичная 
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инструкция - FDUP. 


Она используется здесь для дублирования геГегепсе-а на массив, потому что 
инструкция ааѕїоге выталкивает из стека геїегепсе на массив, но последую- 
щая инструкция ааѕїоге снова нуждается в нем. 


Компилятор Јама решил, что лучше генерировать йир вместо генерации nH- 
струкции getstatic перед каждой операцией записи в массив (т.е. 11 раз). 


ааѕїоге кладет reference (на строку) в массив по индексу взятому из TOS. 


И наконец, putstatic кладет reference на только что созданный массив во BTO- 
рое поле нашего объекта, т.е. в поле months. 
Функции с переменным кол-вом аргументов (уагіааіс) 


Функции с переменным кол-вом аргументов (variadic) на самом деле использу- 
ют массивы: 


public static void f(int... values) 
{ 
for (int 1=0; i<values.length; i++) 
System.out.println(values[i]); 


} 
public static void main(String[] args) 
{ 
f (1,2,3,4,5); 
} 


public static void f(int...); 
flags: АСС PUBLIC, АСС STATIC, АСС VARARGS 


Code: 
stack=3, locals=2, args_size=1 
0: iconst 0 
1: istore_1 
2: iload_1 
3: aload 0 
4: arraylength 
5: if_icmpge 23 
8: getstatic #2 // Field java/lang/System.out:Ljava/io/ 2 
4 PrintStream; 
11: aload 0 
12: iload_1 
13: iaload 
14: invokevirtual #3 // Method java/io/PrintStream.println: (Ти 
SV 
17: iinc 1, 1 
20: goto 2 
23: return 


По смещению 3, #() просто берет массив переменных используя аТоа4_0. 


Затем берет размер массива, и т. д. 
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public static void таіп (јама. 1апд.5%г1п9[]); 
flags: АСС PUBLIC, АСС ЅТАТІС 
Code: 
stack=4, locals=1, args_size=1 
0: iconst_5 
1: пемаггау їпї 
3: аир 
4: ісопѕї 0 
5: ісопѕї 1 
6: іаѕїоге 
7: дир 
8: ісопѕї 1 
9: ісопѕї 2 
10: іаѕїоге 
11: dup 
12: ісопѕї 2 
13: ісопѕї 3 
14: іаѕїоге 
15: dup 
16: ісопѕї З 
17: ісопѕї 4 
18: іаѕїоге 
19: аир 
20: ісопѕї 4 
21: ісопѕї 5 
22: іаѕїоге 
23: invokestatic #4 // Method f:([I)V 
26: return 


Массив конструируется B main () используя инструкцию пемаггау, затем OH 3a- 
полняется, и вызывается f(). 


Кстати, объект массива не уничтожается в конце main(). 


В Java вообще нет деструкторов, потому что в JVM есть сборщик мусора (garbage 
collector), делающий это автоматически, когда считает нужным. 


Как насчет метода Тогта* ()? 


Он берет на вход два аргумента: строку и массив объектов: 


public PrintStream Ғогтаї (Ѕїгіпо format, Object... args) 


( http://docs.oracle.com/javase/tutorial/java/data/numberformat.html ) 


Посмотрим: 
public static void main(String[] args) 
{ 
int i=123; 
double d=123. 456; 
System.out.format("int: %d double: %f.%n", i, d); 
} 
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public static void таіп (јама. 1апд.5%г1п9[]); 
flags: АСС PUBLIC, АСС STATIC 


Code: 
stack=7, locals=4, args_size=1 
0: bipush 123 
2: istore_1 
3: ldc2 w #2 // double 123.456d 
6: dstore_2 
7: getstatic #4 // Field java/lang/System.out:Ljava/ioz 
S /PrintStream; 
19: 1ас #5 // String int: %d double: %f.%n 
12: iconst_2 
13: anewarray #6 // class java/lang/0Object 
16: dup 
17: ісопѕї 0 
18: і1оаа 1 
19: invokestatic #7 // Method јама/1апд/Іпіедег. ма1ие0#: (Т/ 


s ) Шјама/1апд/Іпїедег; 
22: aastore 


23: аир 

24: ісопѕї 1 

25: д\оаа 2 

26: invokestatic #8 // Method java/lang/Double.value0f: (0) / 


S Ljava/lang/Double; 
29: aastore 


30: invokevirtual #9 // Method java/io/PrintStream. format: (/ 
S Ljava/lang/String;[Ljava/lang/0Object;)Ljava/io/PrintStream; 

33: pop 

34: return 


Так что в начале значения типов int n double конвертируются в объекты типов 
Integer и Double используя методы уа\ие0Т. 


Метод format () требует на входе объекты типа Object, а так как классы Integer 
и Double наследуются от корневого класса Object, они подходят как элементы 
во входном массиве. 


С другой стороны, массив всегда гомогенный, т.е. он не может содержать эле- 
менты разных типов, что делает невозможным хранение там значений типов 
int и double. 


Массив объектов Object создается по смещению 13, объект Integer добавляет- 
ся в массив по смещению 22, объект Double добавляется в массив по смещению 
29. 


Предпоследняя инструкция рор удаляет элемент на TOS, так что в момент MC- 
полнения return, стек пуст (или сбалансирован). 
Двухмерные массивы 


Двухмерные массивы в Java это просто одномерные массивы геѓегепсе-в на дру- 
гие одномерные массивы. 
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Создадим двухмерный массив: 


public static void main(String[] args) 
{ 
int[][ 


] a = new int[5][10]; 
a[1][2]=3; 


public static void main(java.lang.String[]); 
flags: АСС PUBLIC, АСС _ STATIC 
Code: 
stack=3, locals=2, args_size=1 
0: iconst_5 
1: bipush 10 
3: multianewarray #2, 2 // class "[[I" 
7: astore_1 
8: aload_1 
9: iconst_1 
10: aaload 
11: iconst_2 
12: iconst_3 
13: iastore 
14: return 


Он создается при помощи инструкции ти {Тапемаггау: тип объекта и размер- 
ность передаются в операндах. 


Размер массива (10*5) остается в стеке (используя инструкции 1соп5*_5 ибіриѕћ). 
Reference на строку #1 загружается по смещению 10 (ісопѕї 1 и аа1оаа). 


Выборка столбца происходит используя инструкцию ісопѕї 2 по смещению 
11. 


Значение для записи устанавливается по смещению 12. 
іаѕіоге на 13 записывает элемент массива. 


Как его прочитать? 


public static int get12 (int[][] іп) 
{ 


} 


return in[1][2]; 


public static int get12(int[][]); 
flags: АСС PUBLIC, АСС _ STATIC 
Code: 

stack=2, 1оса15=1, args_size=1 

: aload 0 

iconst_1 

aaload 

iconst_2 

iaload 

ireturn 


ло мно 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


876 
Reference на строку массива загружается по смещению 2, столбец устанавли- 
вается по смещению 3, іа1оаа загружает элемент массива. 


Трехмерные массивы 


Трехмерные массивы это просто одномерные массивы геїегепсе-ов на одномер- 
ные массивы геѓегепсе-ов на одномерные массивы. 


public static void main(String[] args) 


{ 
int[][][] a = new int[5][10][15]; 
a[1][2][3]=4; 
get_elem(a); 

} 


public static void main(java.lang.String[]); 
flags: АСС PUBLIC, АСС _ STATIC 
Code: 
stack=3, locals=2, args_size=1 
0: iconst_5 


1: bipush 10 

3: bipush 15 

5: multianewarray #2, 3 // class "[[[I" 
9: astore_1 
10: aload_1 
11: iconst_1 
12: aaload 
13: iconst_2 
14: aaload 


15: iconst_3 
16: ісопѕї 4 
17: іаѕїоге 


18: а1оаа 1 

19: invokestatic #3 // Method get е1ет: ([[[Т)Т 
22: рор 

23: return 


Чтобы найти нужный reference, теперь нужно две инструкции аа1оаа: 


public static int деф е1ет (int[][][] а) 
{ 


} 


return a[1][2][3]; 


public static int get_elem(int[][][]); 
flags: АСС PUBLIC, АСС _ STATIC 
Code: 
stack=2, locals=1, args_size=1 
0: aload 0 
1: iconst_1 
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aaload 
iconst_2 
aaload 
iconst_3 
iaload 
ireturn 


м сул Биш м 


Итоги 


Возможно ли сделать переполнение буфера в Java? 


Нет, потому что длина массива всегда присутствует в объекте массива, гра- 
ницы массива контролируются и при попытке выйти за границы, сработает 
исключение. 


В Java нет многомерных массивов в том смысле, как в Си/Си++, так что )ама не 
очень подходит для быстрых научных вычислений. 


4.1.14. Строки 


Первый пример 


Строки это объекты, и конструируются так же как и другие объекты (и масси- 
вы). 


public static void main(String[] args) 


{ 
System.out.println("What is your name?"); 
String input = System.console().readLine(); 
System.out.println("Hello, "+input); 

} 


public static void main(java.lang.String[]); 
flags: АСС PUBLIC, АСС _ STATIC 


Code: 
stack=3, locals=2, args_size=1 

0: getstatic #2 // Field java/lang/System.out:Ljava/io/z 
S PrintStream; 

3: ldc #3 // String What is your name? 

5: invokevirtual #4 // Method java/io/PrintStream.println: (2 
S Ljava/lang/String;)V 

8: invokestatic #5 // Method јама/Л1апд/Ѕуѕіет. сопѕо1е: ()/ 
$ Е] ауа/1о/Соп5о\1е; 

11: invokevirtual #6 // Method јама/іо/Сопѕо1е. геайііпе: () 2 


У Ljava/lang/String; 
14: аѕїоге 1 


15: getstatic #2 // Field java/lang/System.out:Ljava/io/z 
S PrintStream; 

18: new #7 // class java/lang/StringBuilder 

21: dup 

22: invokespecial #8 // Method јама/Лапо/51гіпдВиі1дег. "<, 


„ init>":()V 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


878 


25: 1ас #9 // String Hello, 

27: invokevirtual #10 // Method java/lang/StringBuilder. р 
„ append: (Ljava/lang/String;)Ljava/lang/StringBuilder; 

30: aload_1 

31: invokevirtual #10 // Method java/lang/StringBuilder. 2 
~ append: (Ljava/lang/String; )Ljava/lang/StringBuilder; 

34: invokevirtual #11 // Method java/lang/StringBuilder. 2 
S toString: ()Ljava/lang/String; 

37: invokevirtual #4 // Method јама/іо/РгіпіЅігеат.ргіпї\п: (2 
S Ljava/lang/String;)V 

40: return 


Метод readLine() вызывается по смещению 11, reference на строку (введен- 
ную пользователем) остается на TOS. 


По смещению 14, reference на строку сохраняется в первом слоте LVA. 


Строка введенная пользователем перезагружается по смещению 30 и склады- 
вается со строкой «Hello, » используя класс StringBuilder. 


Сконструированная строка затем выводится используя метод рг1п п по cme- 
щению 37. 


Второй пример 


Еще один пример: 


public class strings 


{ 
public static char test (String a) 
{ 
return a.charAt(3); 
}; 
public static String concat (String a, String b) 
{ 
return a+b; 
} 
} 


public static char test(java.lang.String); 
flags: АСС PUBLIC, АСС STATIC 


Code: 
stack=2, locals=1, args_size=1 
0: aload 0 
1: iconst_3 
2: invokevirtual #2 // Method java/lang/String.charAt:(I)C 
5: ireturn 


Складывание строк происходит при помощи класса StringBuilder: 


public static java.lang.String сопса* (јама.1апд.5Ѕ1гіпд, јама. 1апд.51гіпд) 2 
ь 
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flags: АСС РИВЕТС, АСС ЅТАТІС 


Code: 
stack=2, locals=2, args_size=2 

0: new #3 // class java/lang/StringBuilder 

3: dup 

4: invokespecial #4 // Method java/lang/StringBuilder."</ 
 init>":()V 

7: aload 0 

8: invokevirtual #5 // Method java/lang/StringBuilder. 2 
„ append: (Ljava/lang/String;)Ljava/lang/StringBuilder; 

11: aload_1 

12: invokevirtual #5 // Method java/lang/StringBuilder. р 
S append: (Ljava/lang/String;)Ljava/lang/StringBuilder; 

15: invokevirtual #6 // Method java/lang/StringBuilder. р 


S toString: ()Ljava/lang/String; 
18: areturn 


Еще пример: 
public static void main(String[] args) 
{ 
String s="Hello!"; 
int n=123; 
System.out.println("s=" + s + " n=" + n); 
} 


И снова, строки создаются используя класс StringBuilder и его метод append, 
затем сконструированная строка передается в метод println: 


public static void таіп (јама. 1апд.5%г1п9[]); 
flags: АСС PUBLIC, АСС STATIC 


Code: 
stack=3, locals=3, args_size=1 
0: 1ас #2 // String Hello! 
2: astore_1 
3: bipush 123 
5: istore 2 
6: getstatic #3 // Field java/lang/System.out:Ljava/io/z 
S PrintStream; 
9: new #4 // class java/lang/StringBuilder 
12: dup 
13: invokespecial #5 // Method јама/Лапо/51гіпдВиі1дег. "<, 
 init>":()V 
16: 1ас #6 // String s= 
18: invokevirtual #7 // Method java/lang/StringBuilder. 2 
append: (Ljava/lang/String; )Ljava/lang/StringBuilder; 
21: aload_1 
22: invokevirtual #7 // Method java/lang/StringBuilder. / 
„ append: (Ljava/lang/String;)Ljava/lang/StringBuilder; 
25: 1ас #8 // String n= 
27: invokevirtual #7 // Method java/lang/StringBuilder. 2 
append: (Ljava/lang/String; )Ljava/lang/StringBuilder; 
30: iload_2 
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31: invokevirtual #9 // Method java/lang/StringBuilder. 2 
S append: (I)Ljava/lang/StringBuilder; 
34: invokevirtual #10 // Method java/lang/StringBuilder. 2 


S toString: ()Ljava/lang/String; 


37: invokevirtual #11 // Method java/io/PrintStream.println: (2 


ъ Ljava/lang/String;)V 
40: return 


4.1.15. Исключения 
Немного переделаем пример Month (4.1.13 (стр. 869)): 


Листинг 4.10: ІпсоггесЕМопіћЕхсерііоп.јама 


public class IncorrectMonthException extends Exception 


{ 
private int index; 
public IncorrectMonthException(int index) 
{ 
this.index = index; 
public int getIndex() 
{ 
return index; 
} 
} 


Листинг 4.11: Month2.java 


class Month2 
{ 
public static String[] months = 
{ 
"January", 
"February", 
"March", 
"April", 
"May", 
"June", 
"July", 
"August", 
"September", 
"October", 
"November", 
"December" 


}; 


public static String get_month (int i) throws и 
„ IncorrectMonthException 
{ 
if (1<0 || 1>11) 
throw пем ІпсоггесЕМопЁҺЕхсер+іоп (1); 
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return топЕћѕ [1]; 


}; 
public static void main (5%г1п9[] args) 
{ 
try 
{ 
System.out.println(get_month(100)); 
} 
catch(IncorrectMonthException e) 
{ 


System.out.println("incorrect month index: "+ е. / 
< getIndex()); 
e.printStackTrace(); 
} 
$; 


Коротко говоря, Іпсоггес+Моп+ћЕхсер+іоп.с1аѕ5 имеет только конструктор 
объекта и один метод-акцессор. 


Класс IncorrectMonthException наследуется от Exception, 

так что конструктор Тпсоггес{Моп{ПЕхсер{ Топ в начале вызывает конструктор 
класса Exception, затем он перекладывает входящее значение в единствен- 
ное поле класса IncorrectMonthException: 


public IncorrectMonthException(int); 
flags: АСС PUBLIC 
Code: 
stack=2, locals=2, args_size=2 

0: aload 0 
1: invokespecial #1 // Method java/lang/Exception."<init/z 

g >":()V 
4: aload 0 
5: iload_1 
6: putfield #2 // Field index:I 
9: return 


getIndex() это просто акцессор. 


Reference (указатель) на Іпсоггес+МопҺЕхсерїіоп передается в нулевом CNO- 
те LVA (this), а\о0аЧ_0 берет его, getfield загружает значение из объекта, 1гефигп 
возвращает его. 


public int деїІпаех (); 
flags: АСС PUBLIC 
Code: 
stack=1, locals=1, args_size=1 
0: aload 0 
1: getfield #2 // Field index:I 
4: ireturn 


Посмотрим на get_month() в Month2. class: 
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Листинг 4.12: Month2.class 


public static java.lang.String get_month(int) throws и 
s IncorrectMonthException; 
flags: АСС PUBLIC, АСС _ STATIC 


Code: 
stack=3, locals=1, args_size=1 
0: iload 0 
1: iflt 10 
4: iload 0 
5: bipush 11 
7: if_icmple 19 
10: new #2 // class IncorrectMonthException 
13: dup 
14: iload 0 
15: invokespecial #3 // Method IncorrectMonthException."</ 
S init>":(I)V 
18: athrow 
19: getstatic #4 // Field months: [Ljava/lang/String; 
22: iload_0 
23: aaload 


24: areturn 


iflt по смещению 1 это if less than (если меньше, чем). 


В случае неправильного индекса, создается новый объект при помощи инструк- 
ции пем по смещению 10. 


Тип объекта передается как операнд инструкции 
(и это IncorrectMonthException). 


Затем вызывается его конструктор, в который передается индекс (через ТОЅ) 
(по смещению 15). 


В то время как управление находится на смещении 18, объект уже создан, те- 
перь инструкция athrow берет указатель (reference) на только что созданный 
объект и сигнализирует в )/М, чтобы тот нашел подходящий обработчик ис- 
ключения. 


Инструкция athrow не возвращает управление сюда, так что по смещению 19 
здесь совсем другой basic block, не имеющий отношения к исключениям, сюда 
можно попасть со смещения 7. 


Как работает обработчик? Посмотрим на main() в Month2. class: 


Листинг 4.13: Month2.class 


public static void таіп (јама. 1апд.5%г1п9[]); 
flags: АСС PUBLIC, АСС ЅТАТІС 


Code: 
stack=3, locals=2, args_size=1 
0: getstatic #5 // Field java/lang/System.out:Ljava/io/z 
S PrintStream; 
3: bipush 100 
5: invokestatic #6 // Method get_month:(I)Ljava/lang/ 2 
S String; 
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8: invokevirtual #7 // Method јама/іо/РгіпіЅігеат.ргіпї\п: (2 
ъ Ljava/lang/String;)V 

11: доїо 47 

14: аѕїоге 1 

15: getstatic #5 // Field јама/1апд/Ѕуѕет. ои :Іјауа/1іо/ 2 
S PrintStream; 

18: new #8 // class java/lang/StringBuilder 

21: dup 

22: invokespecial #9 // Method јама/Лапо/51гіпдВиі1дег. "<, 
4 init>":()V 

25: ldc #10 // String incorrect month index: 

27: invokevirtual #11 // Method java/lang/StringBuilder. 2 
„ append: (Ljava/lang/String;)Ljava/lang/StringBuilder; 

30: aload_1 

31: invokevirtual #12 // Method IncorrectMonthException. 2 
s getIndex:()I 

34: invokevirtual #13 // Method java/lang/StringBuilder. р 
append: (I)Ljava/lang/StringBuilder; 

37: invokevirtual #14 // Method java/lang/StringBuilder. 2 
S toString: ()Ljava/lang/String; 

40: invokevirtual #7 // Method java/io/PrintStream.println: (2 
 Ljava/lang/String;)V 

43: aload_1 

44: invokevirtual #15 // Method IncorrectMonthException. / 
S printStackTrace: ()V 

47: return 


Exception table: 
from to target type 
0 11 14 Class ІпсоггесіМоп+ҺЕхсерїіоп 


Тут есть Exception table, которая определяет, что между смещениями Ои 11 
(включительно) может случится исключение 

IncorrectMonthException, и если это произойдет, то нужно передать управле- 
ние на смещение 14. 


Действительно, основная программа заканчивается на смещении 11. 


По смещению 14 начинается обработчик, и сюда невозможно попасть, здесь 
нет никаких условных/безусловных переходов в эту область. 


Но JVM передаст сюда управление в случае исключения. 


Самая первая аѕїоге 1 (на 14) берет входящий указатель (reference) на объект 
исключения и сохраняет его в слоте 1 LVA. 


Позже, по смещению 31 будет вызван метод этого объекта 
(де+Іпдех ()). 


Указатель геѓегепсе на текущий объект исключения передался немного рань- 
ше (смещение 30). 


Остальной код это просто код для манипуляции со строками: в начале значе- 
ние возвращенное методом де*Тпдех () конвертируется в строку используя Me- 
тод toString(), затем эта строка прибавляется к текстовой строке «incorrect 
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month index: » (как мы уже рассматривали ранее), затем вызываются println() 
и ргіпіЅёаскТгасе(). 


После того как ргіпїЅ+аскТгасе () заканчивается, исключение уже обработа- 
но, мы можем возвращаться к нормальной работе. 


По смещению 47 есть return, который заканчивает работу функции паіп (), но 
там может быть любой другой код, который исполнится, если исключения не 
произошло. 


Вот пример, как IDA показывает интервалы исключений: 


Листинг 4.14: из какого-то случайного найденного на компьютере автора 
.С!а55-файла 


‚саїсһ јама/іо/Еі1еМо+Еоипаєхсертіоп from те001 335 to met001_360\ 
using теї001 360 
.саїсһћ java/io/FileNotFoundException from теї001 185 to те+001 214\ 
using теї001 214 
.catch java/io/FileNotFoundException from теї001 181 to те+001 192\ 
using теї001 195 
.catch java/io/FileNotFoundException from теї001 155 to те+001 176\ 
using теї001 176 
.саїсһ java/io/FileNotFoundException from те001 83 to теї001 129 using? 
> \ 
пеї001 129 
.catch java/io/FileNotFoundException from теї001 42 to теї001 66 using 2 
SA 
met001_ 69 
.catch java/io/FileNotFoundException from теї001 begin to met001_37\ 
using met001_37 


4.1.16. Классы 
Простой класс: 


Листинг 4.15: test.java 


public class test 


{ 
public static int a; 
private static int b; 


public test() 


public static void set_a (int input) 


{ 


} 
public static int geta () 


{ 


a=input; 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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return а; 


public static void ѕеї ЫЬ (int input) 


{ 
b=input; 
} 
public static int деф b () 
{ 
return b; 
} 


Конструктор просто выставляет оба поля класса в нули: 


public test(); 
flags: АСС PUBLIC 


Code: 
stack=1, locals=1, args_size=1 

0: aload 0 
1: invokespecial #1 // Method јама/1апд/Објесї. "<іпії>":() 2 

SV 
4: iconst 0 
5: putstatic #2 // Field a:I 
8: iconst 0 
9: putstatic #3 // Field b:I 
12: return 

Сеттер а: 


public static void ѕеї а(1п*); 
flags: АСС PUBLIC, АСС STATIC 


Code: 
stack=1, locals=1, args_size=1 
0: iload 0 
1: putstatic #2 // Field a:I 
4: return 
Геттер а: 


public static int деї а(); 
flags: АСС PUBLIC, АСС STATIC 


Code: 
stack=1, locals=0, args_size=0 
0: getstatic #2 // Field a:I 
3: ireturn 
Сеттер b: 


public static void set_b(int); 
flags: АСС PUBLIC, АСС _ STATIC 
Code: 
stack=1, locals=1, args_size=1 
0: iload 0 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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1: риїѕїаїіс #3 // Field b:I 
4: return 


Геттер b: 


public static int get Ь(); 
flags: АСС PUBLIC, АСС STATIC 


Code: 
stack=1, locals=0, args_size=0 
0: getstatic #3 // Field b:I 
3: ireturn 


Здесь нет разницы между кодом, работающим для рибііс-полей и private-noneñ. 


Но эта информация присутствует в . с1аѕ5-файле, и в любом случае невозмож- 
но иметь доступ к ргімаѓе-полям. 


Создадим объект и вызовем метод: 


Листинг 4.16: ех1.јама 


public class ex1 


{ 
public static void main(String[] args) 
{ 
test obj=new test(); 
obj.set_a (1234); 
System.out.println(obj.a); 
} 
} 


public static void main(java.lang.String[]); 
flags: АСС PUBLIC, АСС STATIC 


Code: 
stack=2, locals=2, args_size=1 

0: new #2 // class test 

3: dup 

4: invokespecial #3 // Method test."<init>":()V 

7: astore_1 

8: aload_1 

9: pop 

10: sipush 1234 

13: invokestatic #4 // Method test.set_a:(I)V 

16: getstatic #5 // Field java/lang/System.out:Ljava/io/z 
S PrintStream; 

19: aload_1 

20: pop 

21: getstatic #6 // Field test.a:I 

24: invokevirtual #7 // Method java/io/PrintStream.println: (2 
S I)V 

27: return 


Инструкция new создает объект, но не вызывает конструктор (он вызывается 
по смещению 4). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Метод ѕеї а() вызывается по смещению 16. 


К полю а имеется доступ используя инструкцию getstatic по смещению 21. 


4.1.17. Простейшая модификация 


Первый пример 


Перейдем к простой задаче модификации кода. 


public class 


{ 
publi 


{ 


}; 
publi 
{ 


nag 


c static void nag_screen() 


System.out.println("This program is not registered"); 


c static void main(String[] args) 


System.out.println("Greetings from the mega-software"); 


nag_screen(); 


Как можно избавиться от печати строки «This program is not registered»? 


Наконец загрузим .сІаѕѕ-файл в IDA: 


® |178 000 0902 
° |918 005 

® |182 вов 004 
° Мв» 000 006 


® |177 


; Segment type: Pure code 
-method public static nag_screen()U 
-limit stack 2 
-line 4 


getstatic java/lang/System.out Ljava/io/PrintStream; ; CODE XREF: паіп+81Р 


ldc "This program is not registered" 

invokevirtual јаоа/іо/РкіпіЅікеап.ркіпі1п(1 јауа/1апд/Ѕкіпд; )0 
-line 5 

return 
-end method 


; Segment type: Pure code 
-method public static main{[Ljava/lang/String;)U 
-limit stack 2 
-limit locals 1 
-line 8 
getstatic java/lang/System.out Ljava/io/PrintStream; 
lde "Greetings from the mega-software" 
invokevirtual java/io/PrintStream.printlnťLjavažlang/String;)U 
-line 9 
invokestatic nag.nag_screen{)U 
-line 16 
return 


Рис. 4.1: IDA 


В начале заменим первый байт функции на 177 (это опкод инструкции return): 
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; Segment type: Pure code 
-method public static nag_screen{)U 
-limit stack 2 


| Ліпе 4 
nag_screen: ; CODE XREF: паіп+8 Р 
® |177 return 
° |000 
° |092 
° |618 вәз lde "This program is not registered" 
° |182 000 вел invokevirtual јауа/іо/Ркіпіѕікеат.ркіпё1п(1 јаоа/1апд/Ѕкіпд; )0 
Ліпе 5 

® |177 return 


© |??? 27? 777+ „end method 


Рис. 4.2: IDA 


Но это не работает (JRE 1.7): 


Exception іп thread "main" java.lang.VerifyError: Expecting а stack map / 
S frame 
Exception Details: 
Location: 
nag.nag_screen()V @1: пор 
Reason: 
Error exists in the bytecode 
Bytecode: 
0000000: b100 0212 03b6 0004 b1 


at java.lang.Class.getDeclaredMethods0(Native Method) 

at java.lang.Class.privateGetDeclaredMethods (Class.java:2615) 

at java.lang.Class.getMethod0®(Class.java:2856) 

at java.lang.Class.getMethod(Class.java:1668) 

at sun. launcher .LauncherHelper.getMainMethod (LauncherHelper.javaz 
„ :494) 

at зип. launcher.LauncherHelper.checkAndLoadMain (ГаипсһегНе1рег. јаха 2 
S :486) 


Вероятно, B JVM есть проверки связанные с картами стека 


ОК, попробуем пропатчить её иначе, удаляя вызов функции пад(): 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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; Segment type: Pure code 
-method public static паіп( [1] ача/1апд/$"1п9;)4 
-limit stack 2 
-limit locals 1 


-line 8 

° |178 000 002 getstatic јауа/1апд/Ѕуѕіеп.оиі 1] ауа/1о/Ри1пЕ$ Екеап; 

° |018 005 1йс "Greetings from the mega-software" 

° |182 вов 004 invokevirtual јаоа/іо/РкіпіѕЕкеап.ркіпё1п(1 ] ауа/1ап9/$ "119; )0 
-line 9 

° jana пор 

° jona пор 

° |000 пор 
-line 19 

® |177 return 


Рис. 4.3: IDA 


0 это опкод инструкции МОР. 


Теперь всё работает! 


Второй пример 


Еще один простой пример сгаскте: 


public class password 


{ 
public static void main(String[] args) 
{ 
System.out.println("Please enter the password"); 
String input = System.console().readLine(); 
if (input.equals("secret")) 
System.out.println("password is correct"); 
else 
System.out.println("password is not correct"); 
} 
} 


Загрузим B IDA: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


° |178 
° (018 
® |182 


® Hay 
® |182 
® |976 
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918 
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--- |153 


° |178 
° |618 
® |182 
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° |618 
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992 
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; Segment type: Pure code 


-method public static та1їп([1 ]аоа/1апд/$їк1пд;)0 
-limit stack 2 
-limit locals 2 
-line 3 
getstatic javaź/lang/System.out 1 ]ауа/1о/Рк1пї$їгеап; 
ldc "Please enter the password" 
invokevirtual java/io/PrintStream.printlnť{Ljava/lang/String;)U 
-line 4 
invokestatic java/lang/System.console(})Ljava/io/Console; 
invokevirtual јауа/іо/Сопѕо1е .кеайі іпе( )1 ] аца/1апд/$ кіп; 
аѕёоке 1 ; пе002_ 5101001 
-line 5 
а1оай 1 ; пев02 5101061 
lde "secret" 
invokevirtual java/langź/String.equals({Ljavaź/lang/0bject;}z 
ifeq 
-line ó 
getstatic java/lang/System.out Ljava/io/PrintStreanm; 
14с "password is correct" 
invokevirtual javaź/io/PrintStream.printlnťLjava/lang/String;)U 
goto met802_43 
-line 8 


: ; CODE XREF: main+21fj 
-Stack use locals 
locals Object ]ача/1апд/$ ("119 
-end stack 
getstatic java/lang/System.out Ljava/io/PrintStreanm; 
14с "password 15 not correct" 
invokevirtual java/io/PrintStream.printlnť{Ljava/lang/String;)U 
-line 9 


Рис. 4.4: IDA 


Видим здесь инструкцию ifeq, которая, собственно, всё и делает. 


Её имя означает if equal, и это не очень удачное название, её следовало бы 
назвать 117 (И zero), т.е. если значение на TOS ноль, тогда совершить переход. 


В нашем случае, переход происходит если пароль не верный (метод едиа15 
возвращает False, а это 0). 


Первое что приходит в голову это пропатчить эту инструкцию. 


В опкоде ifeq два байта, в которых закодировано смещение для перехода. 


Чтобы инструкция не работала, мы должны установить байт 3 на третьем бай- 
те (потому что 3 будет прибавляться к текущему смещению, и в итоге переход 
будет на следующую инструкцию, ведь длина инструкции ifeq это 3 байта): 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


® |178 900 
° |618 003 
® |182 888 


® |183 вов 
® |182 888 
® |976 


® (олз 

° |018 007 
® |182 000 
2 |153 000 


я 
в 


178 000 
® |618 009 
® |182 вов 
® |167 900 


178 900 


618 010 
® |182 вов 


; Segment type: Pure code 
-method public static main([Ljavaź/lang/String;)U 
-limit stack 2 
-limit locals 2 
-line 3 
882 getstatic }аоа/1апд0/$у5®ет.оиї 1-]аоа/1о/Рк1пї$їгеап; 
lde “Please enter the password" 
айн invokevirtual java/io/PrintStream.println({Ljava/lang/String;)U 
-line 4 
905 іпуокеѕёаёіс јауа/1апд/$џуѕіет.сопѕо1е( )1 јаоа/іо/Сопѕо1е; 
996 invokevirtual јаоа/іо/Сопѕо1е .кеай! іпе( )1 ] аца/1апд/$ "119; 
аѕіоке 1 ; пеё0в2 5101001 
-line 5 
а1оай 1 ; пеє602 51014001 
lde "secret" 
998 invokevirtual јаоа/1апд/5ікіпд.едиа15(1 јаџа/1апд/0Ьјесі; )2 
803 ifeq 
-line 6 


: ; CODE XREF: паіп+211ј 
992 getstatic java/lang/System.out |] ауа/1о/Ри1пЕ$ кеап; 
ldc “password is correct" 
айн invokevirtual }аоа/1о/Рк1пї$їкеапт„рк1їпї1п(1.]аоа/1апд/$їк1па;) 
911 goto теїйй2_н3 
-line 8 
882 -Stack use locals 
locals Object java/lang/String 
-end stack 
getstatic java/lang/System.out Ljava/io/PrintStream; 
14с "password is not correct" 
айн invokevirtual }аоба/1о/Рк1пї$їкеап„ркїпї1п(1.]аоа/1апд/$Ек1пад;)\ 
-line 9 


Рис. 4.5: IDA 


Это не работает (JRE 1.7): 
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Exception і 
S frame 
Exception D 
Location: 
passwor 
Reason: 
Expecte 
Bytecode: 
0000000 
0000010 
0000020 
Stackmap 
аррепа_ 
same fr 


at 
at 
at 
at 
at 


n thread "main" java.lang.VerifyError: Expecting а stackmap >? 
at branch target 24 
etails: 


d.main([Ljava/lang/String;)V @21: ifeq 
d stackmap frame at this location. 


: b200 0212 03b6 0004 b800 05b6 0006 4c2b 
: 1207 b600 0899 0003 b200 0212 09b6 0004 
: a700 0662 0002 120a b600 04b1 

Table: 

frame (@35 , Објесї [#20]) 

апе (@43) 


јама. 1апд.С1аѕѕ. дерес агедМеїтһоаѕ0 (Ма+іуе Method) 

јама. 1апд.С1аѕ5ѕ. ргімуатебеїрес1 агеаМе+һоаѕ (С1аѕѕ. јама: 2615) 
јама. 1апд.С1аѕѕ. деМетһоао (С1аѕ5. јама: 2856) 

јама. 1апд.С1аѕ5ѕ. деМеїһоа (С1аѕѕ. јама: 1668) 

sun. launcher .LauncherHelper.getMainMethod (аипсһегНе1рег. јама 2 


Если вы 


г заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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S :494) 
at ѕип.1аипсһег.ГСаипсһегНе1рег. спескАпаЁоа9Ма1 п (ГаипсһегНе1рег. јаха 
S 1486) 


Хотя, надо сказать, работает в )ВЕ 1.6. 


Мы также можем попробовать заменить все три байта опкода ifeq на нулевые 
байты (МОР), но это тоже не работает. 


Видимо, начиная с JRE 1.7, там появилось больше проверок карт стека. 


ОК, заменим весь вызов метода едиа15 на инструкцию ісопѕї 1 плюс набор 
МОР-ов: 


; Segment type: Pure code 
-method public static main([Ljava/lang/String;)U 
-limit stack 2 
-limit locals 2 


-line 3 
° |178 000 002 getstatic ]ауа/1апд/ЗуэТет.ои{ 1 ]ауа/1о/Рк1пї$їгеап; 
° |018 вәз йс "Please enter the password" 
° |182 008 004 invokevirtual java/io/PrintStream.printlní{Ljava/lang/String;)U 

-line 4 
° fau вв 005 invokestatic java/lang/System.console(})Ljava/io/Console; 
° |182 000 вво invokevirtual јаоа/іо/Сопѕо1е .геа911пе( )1 јаџа/1апд/5ікіпд; 
® |076 astore_1 ; пес002 5101001 

-line 5 
° joos iconst_1 
° |600 пор 
° |000 пор 
° |600 пор 
° jona пор 
° Jaga пор 
® |153 006 014 ifeq те 002_35 

-line ó 
® |178 вов 002 getstatic java/lang/System.out Ljava/io/PrintStream; 
° |018 889 ldc "password is correct" 
° |182 000 өөх invokevirtual java/io/PrintStream.printlní{Ljava/lang/String;)UV 
° |167 000 011 goto met882_43 

-line 8 

пеЕ002_35: ; CODE XREF: main+21Îj 
178 000 002 -Stack use locals 
locals Object java/lang/String 
-end stack 


Рис. 4.6: IDA 


1 будет всегда на TOS во время исполнения инструкции ifeq, так что ifeq 
никогда не совершит переход. 


Это работает. 


4.1.18. Итоги 


Чего не хватает в Java в сравнении с Си/Си++? 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Структуры: используйте классы. 
Объединения (ипіоп): используйте иерархии классов. 
Беззнаковые типы данных. 


Кстати, из-за этого реализовывать криптографические алгоритмы на Јама 
немного труднее. 


Указатели на функции. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


Глава 5 


Поиск в коде того что нужно 


Современное ПО, в общем-то, минимализмом не отличается. 


Но не потому, что программисты слишком много пишут, а потому что к исполня- 
емым файлам обыкновенно прикомпилируют все подряд библиотеки. Если бы 
все вспомогательные библиотеки всегда выносили во внешние DLL, мир был 
бы иным. (Еще одна причина для Си++ — STL и прочие библиотеки шаблонов.) 


Таким образом, очень полезно сразу понимать, какая функция из стандартной 
библиотеки или более-менее известной (как Вооѕ!, рпо?), а какая — имеет 
отношение к тому что мы пытаемся найти в коде. 


Переписывать весь код на Си/Си++, чтобы разобраться в нем, безусловно, не 
имеет никакого смысла. 


Одна из важных задач reverse епдіпеег-а это быстрый поиск в коде того что 
собственно его интересует, а что - второстепенно. 


Дизассемблер IDA позволяет делать поиск как минимум строк, последователь- 
ностей байт, констант. Можно даже сделать экспорт кода в текстовый файл 
151 или .аѕт и затем натравить на него grep, awk, и т. д. 


Когда вы пытаетесь понять, что делает тот или иной код, это запросто может 
быть какая-то опен-сорсная библиотека вроде libpng. Поэтому, когда находи- 
те константы, или текстовые строки, которые выглядят явно знакомыми, все- 
гда полезно их погуглить. А если вы найдете искомый опен-сорсный проект 
где это используется, то тогда будет достаточно будет просто сравнить вашу 
функцию с ней. Это решит часть проблем. 


К примеру, если программа использует какие-то ХМі-файлы, первым шагом 
может быть установление, какая именно ХМ!-библиотека для этого исполь- 
зуется, ведь часто используется какая-то стандартная (или очень известная) 
вместо самодельной. 


lhttp://www.boost.org/ 
2http://www.libpng.org/pub/png/libpng.html 
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К примеру, автор этих строк однажды пытался разобраться как происходит 
компрессия/декомпрессия сетевых пакетов в ЅАР 6.0. Это очень большая про- 
грамма, но к ней идет подробный .РОВ-файл с отладочной информацией, и это 
очень удобно. Он в конце концов пришел к тому что одна из функций деком- 
прессирующая пакеты называется CsDecomprLZC(). Не сильно раздумывая, он 
решил погуглить и оказалось, что функция с таким же названием имеется в 


MaxDB (это опен-сорсный проект SAP) 3. 


Тр: //ммм. доод1е. сот/ѕеагсһ?д=Сѕресотргі 7С 


Каково же было мое удивление, когда оказалось, что в MaxDB используется 
точно такой же алгоритм, скорее всего, с таким же исходником. 


5.1. Идентификация исполняемых файлов 


5.1.1. Microsoft Visual С++ 


Версии MSVC и ОШ которые могут быть импортированы: 


Маркетинговая вер. | Внутренняя вер. | Вер. CL.EXE | Импорт.ОШ. | Дата выхода 

6 6.0 12.00 msvcrt.dll June 1998 
msvcp60.dll 

.NET (2002) 7.0 13.00 msvcr70.dll February 13, 2002 
msvcp70.dll 

.NET 2003 7.1 13.10 msvcr71.dll April 24, 2003 
msvcp71.dll 

2005 8.0 14.00 msvcr80.dll November 7, 2005 
msvcp80.dll 

2008 9.0 15.00 msvcr90.dll November 19, 2007 
msvcp90.dll 

2010 10.0 16.00 msvcr100.dlil | April 12, 2010 
msvcp100.dll 

2012 11.0 17.00 msvcr110.dll | September 12, 2012 
msvcp110.dll 

2013 12.0 18.00 msvcr120.dll | October 17, 2013 
msvcp120.dll 


msvcp*.dll содержит функции связанные с Си++, так что если она импортиру- 
ется, скорее всего, вы имеете дело с программой на Си++. 


Мате mangling 


Имена обычно начинаются с символа ?. 


О пате mangling в MSVC читайте также здесь: 3.19.1 (стр. 690). 


ЗБольше об этом в соответствующей секции (8.10.1 (стр. 1105)) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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5.1.2. ССС 

Кроме компиляторов под *МІХ, ССС имеется так же и для міп32-окружения: в 
виде Cygwin и MinGW. 

Мате mangling 


Имена обычно начинаются с символов 7, 


О пате mangling в ССС читайте также здесь: 3.19.1 (стр. 690). 


Cygwin 


cygwin1.dll часто импортируется. 


MinGW 


msvcrt.dll может импортироваться. 


5.1.3. Intel Fortran 


libifcoremd.dll, libifportmd.dll и libiomp5md.dll (поддержка OpenMP) могут импор- 
тироваться. 


В ИБНсогета.а! много функций с префиксом Тог_, что значит Fortran. 


5.1.4. Watcom, ОрепМаёсот 
Мате mangling 


Имена обычно начинаются с символа W. 


Например, так кодируется метод «method» класса «class» не имеющий аргу- 
ментов и возвращающий void: 


W?method$_ class$n_ v 


5.1.5. Borland 


Вот пример name mangling B Borland Delphi n C++Builder: 


@TApplication@IdleAction$qv 
@TApplication@ProcessMDIAccels$qp6tagMSG 
@TModule@$bctr$qpcpvt1 

@TModule@$bdtr$qv 
@TModule@ValidWindow$qp1l4TWindows0bject 


@TrueBitmap@$bctr$qpcl 
@TrueBitmap@$bctr$qpvl 
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@TrueBitmap@$bctr$qiilll 


Имена всегда начинаются с символа @ затем следует имя класса, имя метода 
и закодированные типы аргументов. 


Эти имена могут присутствовать с импортах .ехе, экспортах .dll, отладочной 
информации, ит. д. 


Borland Visual Component Libraries (VCL) находятся в файлах .bpl вместо .ай, Ha- 
пример, vcl50.dll, rtl60.dll. 


Другие DLL которые могут импортироваться: BORLNDMM.DLL. 


Delphi 


Почти все исполняемые файлы имеют текстовую строку «Boolean» в самом Ha- 
чале сегмента кода, среди остальных имен типов. 


Вот очень характерное для Delphi начало сегмента CODE, этот блок следует 
сразу за заголовком win32 РЕ-файла: 


04 10 40 00 03 07 42 6f 6f бс 65 61 бе 01 00 00 |. .а.. .Воо1еап... | 
00 00 01 00 00 00 00 10 40 00 05 46 61 бс 73 65 |........ а. .Ға1ѕе| 
04 54 72 75 65 8d 40 00 2с 10 40 00 09 08 57 69 |.Тгие.а.,.а@...мі | 
64 65 43 68 61 72 03 00 00 00 00 ff ff 00 00 90 |аеСһаг.......... | 


00 00 00 90 58 10 40 00 01 08 53 ба 61 бс бс 69 | х.@...5та111| 
бе 74 02 00 80 ff ff ff 7f 00 00 90 70 10 40 00 [п|.......... р.@. | 
01 07 49 бе 74 65 67 65 72 04 00 00 00 80 ff ҒҒ |..Тптедег....... | 
ff 7f 8b c0 88 10 40 00 01 04 42 79 74 65 01 00 |{...... @...Вуте.. | 
00 00 00 ff 00 00 00 90 9с 10 40 00 01 04 57 6f |].......... @...\0 | 
72 64 03 00 00 00 00 ff ff 00 00 90 bO 10 40 00 |[га............ @. | 
01 08 43 61 72 64 69 бе 61 бс 05 00 00 00 00 ff |..Сага1па1...... | 
ff ff ff 90 c8 10 40 00 10 05 49 бе 74 36 34 00 |...... @...Int64. | 
00 00 00 00 00 00 80 ff ҒҒ ff ҒҒ ff ҒҒ ҒҒ 7f 90 |................ 
е4 10 40 00 04 08 45 78 74 65 бе 64 65 64 02 90 ..@...Ехїепаеа.. 
f4 10 40 00 04 06 44 6f 75 62 бс 65 01 8а 40 00 ..@...БоибТе. .а. 
04 11 40 00 04 08 43 75 72 72 65 бе 63 79 04 90 ..@...Сиггепсу.. 


| 
| 
14 11 40 00 0а 06 73 74 72 69 бе 67 20 11 40 00 |..@...ѕїгіпд . 
| 
| 


@ 

ОБ да 57 69 64 65 53 74 72 69 бе 67 30 11 40 00 ..WideString0.@. 

Oc 07 56 61 72 69 61 бе 74 8d 40 00 40 11 40 00 ..Магіапі.@. а.а. 

Ос да 4f бс 65 56 61 72 69 61 бе 74 98 11 40 00 ..О1е\Магіап+. .а. 

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 {................ 
00 00 00 00 00 00 00 00 00 00 00 00 98 11 40 00 {.............. @. | 
04 00 00 00 00 00 00 00 18 4d 40 00 24 4d 40 00 {......... ма. $Ма. | 
| 


28 44 40 00 2с 44 40 00 20 4d 40 00 68 4a 40 00 | (ма. ‚ме. M@.hJ@. 
.Је. .Ја. .ТОБ]ес* | 
a4 11 40 00 07 07 54 4f 62 ба 65 63 74 98 11 40 |..@...ТОБдес*. .@| 
00 00 00 00 00 00 00 06 53 79 73 74 65 64 00 00 |........ System.. | 


со 
ү 
> 
Ф 

> 
о 
о 
о 
о 

о 
> 
Ф 

> 
о 
о 
о 
о 
м 
сл 
> 
> 
+ 
[еэ] 
№ 
© 
Ф 

[ә] 
сл 
[еэ] 
Ww 
N 
> 


....Е.бузЖет.... | 
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| 

сс 83 44 24 04 18 e9 51 бс 00 00 83 44 24 04 18 |..0$...01...0$.. | 
| 
| 


bc 12 40 00 Oc 00 00 00 4c 11 40 00 18 4d 40 00 |..@..... г.а. .Ме. | 
50 7e 40 00 5с 7e 40 00 2с 4d 40 00 20 44 40 00 |Р-@.\-@. ‚ме. ме. | 
бс 7e 40 00 84 Да 40 00 сб Да 40 00 11 54 49 бе |1-а..Ја..Ја. .ТІп| 
74 65 72 66 61 63 65 64 4f 62 ба 65 63 74 8b с0 |terfaced0Object.. | 


d4 12 40 00 07 11 54 49 бе 74 65 72 66 61 63 65 |..@. о 
64 4f 62 ба 65 63 74 bc 12 40 00 a0 11 40 00 00 |аоЫјесі. .@.. . | 
00 06 53 79 73 74 65 ба 00 00 8b со 00 13 40 00 |. .бЅуѕтет...... @. | 
11 00 54 42 6f 75 бе 64 41 72 72 61 79 04 00 00 |[.. ТВоипдАггау. .. | 
00 00 00 00 00 03 00 00 00 бс 10 40 00 06 53 79 |......... 1.а. ‚бу | 

| 

О. | 


73 74 65 ба 28 13 40 00 04 09 54 44 61 74 65 54 |stem(.@. и 


Первые 4 байта сегмента данных (DATA) в исполняемых файлах могут быть 00 
00 00 00, 32 13 8B CO или ЕЕ FF FF ЕЕ. Эта информация может помочь при 
работе с запакованными/зашифрованными программами на Delphi. 


5.1.6. Другие известные DLL 


• усотр*.а!! — Реализация OpenMP от Microsoft. 


5.2. Связь с внешним миром (на уровне функции) 


Очень желательно следить за аргументами ф-ции и возвращаемыми значения- 
ми, в отладчике или DBI. Например, автор этих строк однажды пытался понять 
значение некоторой очень запутанной ф-ции, которая, как потом оказалось, 
была неверно реализованной пузырьковой сортировкой“. (Она работала пра- 
вильно, но медленнее.) В то же время, наблюдение за входами и выходами 
этой ф-ции помогает мгновенно понять, что она делает. 


Часто, когда вы видите деление через умножение (3.10 (стр. 628)), но забыли 
все детали о том, как оно работает, вы можете просто наблюдать за входом и 
выходом, и так быстро найти делитель. 


5.3. Связь с внешним миром (win32) 


Иногда, чтобы понять, что делает та или иная функция, можно её не разбирать, 
а просто посмотреть на её входы и выходы. Так можно сэкономить время. 


4https://yurichev.com/blog/weird_sort_KLEE/ 
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Обращения к файлам и реестру: для самого простого анализа может помочь 
утилита Process Monitor? от Sysinternals. 


Для анализа обращения программы к сети, может помочь Wiresharkê. 


Затем всё-таки придётся смотреть внутрь. 


Первое на что нужно обратить внимание, это какие функции из АРІ ОС и какие 
функции стандартных библиотек используются. Если программа поделена на 
главный исполняемый файл и группу ОИ -файлов, то имена функций в этих 
DLL, бывает так, могут помочь. 


Если нас интересует, что именно приводит к вызову МеѕѕадеВох () с опреде- 
ленным текстом, то первое, что можно попробовать сделать: найти в сегменте 
данных этот текст, найти ссылки на него, и найти, откуда может передаться 
управление к интересующему нас вызову МеѕѕадеВох (). 


Если речь идет о компьютерной игре, и нам интересно какие события в ней 
более-менее случайны, мы можем найти функцию rand() или её заменитель 
(как алгоритм Mersenne twister), и посмотреть, из каких мест эта функция Bbl- 
зывается и что самое главное: как используется результат этой функции. 


Один пример: 8.3 (стр. 1026). 


Но если это не игра, а гапа () используется, то также весьма любопытно, зачем. 
Бывают неожиданные случаи вроде использования гапа() в алгоритме для 
сжатия данных (для имитации шифрования): бІод.уигісһем.сот. 


5.3.1. Часто используемые функции Windows АРІ 


Это функции которые можно увидеть в числе импортируемых. Но также нельзя 
забывать, что далеко не все они были использованы в коде написанном авто- 
ром. Немалая часть может вызываться из библиотечных функций и САТ-кода. 


Многие ф-ции могут иметь суффикс -A для АЗС!-версии и -М для Утсоде-версии. 


• Работа с реестром (адуаріз2.а11): КедЕпитКеуЕх, RegEnumValue, RegGetValue, 
ВедОрепКеуЕх, ВедОчегу\а|иеЕх. 


• Работа с текстовыми .іпі-файлами (Кегпе!32.а11): 
Се РиуаеРгое итд. 


• Диалоговые окна (иѕег32.411): 
MessageBox, МеѕѕадеВохЕх, Сгеаїеріаіод, Ѕеі0ідіїеттТехї, GetDlgltemText. 


• Работа с ресурсами (6.5.2 (стр. 980)): (иѕег32.11): LoadMenu. 
e Работа с ТСРЛР-сетью (152 32.11): WSARecv, WSASend. 


• Работа с файлами (Кегпе!32.а!): CreateFile, ReadFile, ReadFileEx, WriteFile, 
WriteFileEx. 


• Высокоуровневая работа c Internet (wininet.dll): WinHttpOpen. 


5http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx 
ŝhttp://ww.wireshark.org/ 
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• Проверка цифровой подписи исполняемого файла (м/п ги$Е.а!): WinVerifyTrust. 


• Стандартная библиотека MSVC (в случае динамического связывания) (тз\сг*.а!): 
assert, itoa, Коа, open, printf, read, strcmp, atol, atoi, Гореп, fread, fwrite, петстр, 
rand, strlen, strstr, strchr. 


5.3.2. Расширение триального периода 


Ф-ции доступа к реестру это частая цель тех, кто пытается расширить триаль- 
ный период ПО, которое может сохранять дату/время инсталляции в реестре. 


Другая популярная цель это ф-ции GetLocalTime() и СеёЅуѕќеттТіте(): триаль- 
ное ПО, при каждом запуске, должно как-то проверять текущую дату/время. 


5.3.3. Удаление пад-окна 
Популярный метод поиска того, что заставляет выводить пад-окно это пере- 
хват ф-ций МеѕѕадеВох(), CreateDialog() и CreateWindow(). 


5.3.4. tracer: Перехват всех функций в отдельном модуле 


В tracer есть поддержка точек останова ІМТЗ, хотя и срабатывающие только 
один раз, но зато их можно установить на все сразу функции в некоей ОШ. 


—-one-time-INT3-bp:somedll.dll!.* 


Либо, поставим ІМТЗ-прерывание на все функции, имена которых начинаются 
с префикса xml: 


—-one-time-INT3-bp:somedll.dll!xml. ж 


В качестве обратной стороны медали, такие прерывания срабатывают толь- 
ко один раз. Тгасег покажет вызов какой-либо функции, если он случится, но 
только один раз. Еще один недостаток — увидеть аргументы функции также 
нельзя. 


Тем не менее, эта возможность очень удобна для тех ситуаций, когда вы зна- 
ете что некая программа использует некую ОШ, но не знаете какие именно 
функции в этой DLL. 


И функций много. 


Например, попробуем узнать, что использует судміп-утилита uptime: 


tracer -1:ирііте. ехе --опе-+іте-ІМТЗ-Ыр : судміп1.а11!. ж 


Так мы можем увидеть все функции из библиотеки судміп1.11, которые были 
вызваны хотя бы один раз, и откуда: 


One-time ТМТЗ breakpoint: судміп1.а11! main (called from ир+іте. ехе! ОЕР+0 / 
S хба (0х40106а)) 
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One-time ТМТЗ breakpoint: 


cygwin1 


4 0EP+0xba3 (0x401ba3)) 


One-time INT3 breakpoint: 


4 +0xbaa (0x401baa)) 


One-time INT3 breakpoint: 


cygwin1 


cygwin1 


< ОЕР+09хсЬ7 (0x401cb7)) 


One-time INT3 breakpoint: 


У +0xcbe (0x401cbe)) 


One-time INT3 breakpoint: 


S x735 (0х401735)) 


One-time INT3 breakpoint: 


S +0x7b2 (0x4017b2)) 


One-time INT3 breakpoint: 


5 x994 (0х401994)) 


One-time INT3 breakpoint: 


у +0x7ea (0х4017еа)) 


One-time INT3 breakpoint: 


S x809 (0х401809)) 


One-time INT3 breakpoint: 


S x839 (0х401839)) 


One-time INT3 breakpoint: 


S x139 (0х401139)) 


One-time INT3 breakpoint: 


„ x22e (0x40122e)) 


One-time INT3 breakpoint: 


S +0х236 (0х401236)) 


One-time ТМТЗ breakpoint: 


4 x25a (0х40125а)) 


One-time INT3 breakpoint: 


4 +0x3b1 (0x4013b1)) 


One-time INT3 breakpoint: 


4 +0x3c5 (0x4013c5)) 


One-time INT3 breakpoint: 


„ +0x3e6 (0х4013еб)) 


One-time INT3 breakpoint: 


„ x4c3 (0x4014c3)) 


cygwin1 
cygwin1 
cygwin1 
cygwin1 
cygwin1 
cygwin1 
cygwin1 
cygwin1 
cygwin1 
cygwin1 
cygwin1 
cygwin1 
cygwin1 
cygwin1 


cygwin1 


.а11! geteuid32 (called from ир+іте.ехе! 2 
.dll!_getuid32 (called from uptime.exe!0EP/ 
.dll! getegid32 (called from uptime.exe! / 
.dll! getgid32 (called from uptime.exe!0EP/ 
.dll!sysconf (called from uptime.exe!0EP+0/ 
.dll!setlocale (called from uptime.exe!0EP 2 
.dll!_open64 (called from иртіте. ехе! 0ЕР+0 
.dll!_lseek64 (called from uptime .exe!0EP 7 
.dll!read (called from uptime.exe!0EP+0 / 
.dll!sscanf (called from uptime.exe!0EP+0 / 
.dll!uname (called from uptime.exe!0EP+0 7 
.dll!time (called from uptime.exe!0EP+0 7 
.dll!localtime (called from uptime.exe!0EP 2 
.dll!sprintf (called from uptime. ехе! 0ЕР+0 2 
.dll!setutent (called from uptime.exe!0EP 2 
.dll!getutent (called from uptime.exe!0EP 2 
.dll!endutent (called from uptime.exe!0EP 2 


.dll!puts (called from иртіте. ехе! ОЕР+0 / 


5.4. Строки 


5.4.1. Текстовые строки 


Си/Си++ 


Обычные строки в Си заканчиваются нулем (А5СІ12-строки). 


Причина, почему формат строки в Си именно такой (оканчивающийся нулем) 
вероятно историческая. В [Dennis М. Ritchie, The Evolution of the Unix Тіте-ѕћһагіпд 
System, (1979)] мы можем прочитать: 
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А minor difference was that {Пе unit of ИО was the мога, пої the 
byte, because the PDP-7 was a word-addressed machine. In practice 
this meant merely that all programs dealing with character streams 
ignored null characters, because null was used to pad a file to an even 
number of characters. 


Строки выглядят в Нем! или FAR Manager точно так же: 


їпї та1п() 


{ 
}; 


printf ("Не11о, мога! \п"); 


С: \РоІувоп\ћм1.ехе 


Рис. 5.1: Нем 


Borland Delphi 


Когда кодируются строки B Pascal n Delphi, сама строка предваряется 8-битным 
или 32-битным значением, в котором закодирована длина строки. 


Например: 
Листинг 5.1: Delphi 
С00Е:00518АС8 аа 19h 
CODE :00518АСС aLoading__Plea db 'Іоааіпд... , please маії.',0 
CODE :00518AFC dd 10h 
CODE :00518B00 aPreparingRun_ db 'Preparing гип...',0 
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Unicode 


Нередко уникодом называют все способы передачи символов, когда символ 
занимает 2 байта или 16 бит. Это распространенная терминологическая ошиб- 
ка. Уникод — это стандарт, присваивающий номер каждому символу многих 
письменностей мира, но не описывающий способ кодирования. 


Наиболее популярные способы кодирования: ЦТЕ-8 (наиболее часто использу- 
ется в Интернете и *МІХ-системах) и ЧТЕ-161Е (используется в Windows). 


ОТЕ-8 


ОТЕ-8 это один из очень удачных способов кодирования символов. Все символы 
латиницы кодируются так же, как и в А5С|-кодировке, а символы, выходящие 
за пределы А$С!-7-таблицы, кодируются несколькими байтами. 0 кодируется, 
как и прежде, нулевым байтом, так что все стандартные функции Си продол- 
жают работать с ЦТЕ-8-строками так же как и с обычными строками. 


Посмотрим, как символы из разных языков кодируются в ЧТЕ-8 и как это Bbl- 
глядит в РАК, в кодировке 4377: 


Ном much? 100€? 


(English) I can eat glass and it doesn't hurt me. 

(Greek) Mnopó va páw cnacuéva үхал:й хорЕс va пббо тіпота. 
(Hungarian) Meg tudom enni az üveget, nem lesz tőle bajom. 
(Icelandic) Ég get етіё gler án þess аё теїёа mig. 
(Polish) Моде jeść szkło i mi nie szkodzi. 

(Russian) Я могу есть стекло, оно мне не вредит. 

(Arabic): „а Y lis 9 gbi JÍ e әзіз bii. 
(Нергем): 12 р*тп м NTI M3137 2155 Элл” эзш. 

(Chinese) ЖЕЛТАЯ о 

(Japanese) Ж4ЯЭАЖЕКОЙЗ ‹ СИЗ НЕОН ВА, 0 

(Hindi) Я =їч «п заст ё э яя eA =5 с я@ ga. 


7Пример и переводы на разные языки были взяты здесь: http://www. со1итб1а.ейи/-Тас/иїї8/ 
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Рис. 5.2: ЕАВ: ОТЕ-8 


Видно, что строка на английском языке выглядит точно так же, как и в ASCII- 
кодировке. В венгерском языке используются латиница плюс латинские буквы 
с диакритическими знаками. Здесь видно, что эти буквы кодируются несколь- 
кими байтами, они подчеркнуты красным. То же самое с исландским и поль- 
ским языками. В самом начале имеется также символ валюты «Евро», который 
кодируется тремя байтами. Остальные системы письма здесь никак не связа- 
ны с латиницей. По крайней мере о русском, арабском, иврите и хинди мы 
можем сказать, что здесь видны повторяющиеся байты, что не удивительно, 
ведь, обычно буквы из одной и той же системы письменности расположены в 
одной или нескольких таблицах уникода, поэтому часто их коды начинаются 
с одних и тех же цифр. 


В самом начале, перед строкой «Ном much?», видны три байта, которые на 
самом деле BOM. ВОМ показывает, какой способ кодирования будет сейчас 
использоваться. 


ОТЕ-161Е 


Многие функции win32 в Windows имеют суффикс -A и -М. Первые функции 
работают с обычными строками, вторые с ОТЕ-161Е-строками (wide). Во втором 
случае, каждый символ обычно хранится в 16-битной переменной типа short. 


Строки с латинскими буквами выглядят в Нем или ЕАК как перемежающиеся 
с нулевыми байтами: 


int wmain() 


{ 
}; 


wprintf (L"Hello, мога! \п"); 


8Byte Order Mark 
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Ніем: hw2.exe 


Рис. 5.3: Нем 


Подобное можно часто увидеть в системных файлах Windows МТ: 


view ntoskrnl.exe - Far 2.0.1807 x64 Administrator 


Рис. 5.4: Нем 


В А, уникодом называется именно строки с символами, занимающими 2 бай- 
та: 

.аӢа+а:0040Е000 аНе1 1омог1а: 

.дӢа+а: 0040Е000 unicode 0, <Не110, мог1а!> 

.да+а: 0040Е000 dw OAh, 0 


Вот как может выглядеть строка на русском языке («И снова здравствуйте!») 
закодированная в ЧТЕ-161Е: 
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1+ д%-Ф›Ф2Ф0Ф 7%4%@%0%2+%Л%В#%2#+С 
о Ө оо 


Рис. 5.5: Нем: ОТЕ-161Е 


То что бросается в глаза — это то что символы перемежаются ромбиками (кото- 
рый имеет код 4). Действительно, в уникоде кирилличные символы находятся 
в четвертом блоке. Таким образом, все кирилличные символы в UTF-16LE нахо- 
дятся в диапазоне 0х400 -0x4FF. 


Вернемся к примеру, где одна и та же строка написана разными языками. 
Здесь посмотрим в кодировке ОТЕ-16ІЕ. 


CEng iist T сап eat 91а$ 5 апа TE поеѕ n t лз Е me 


Ссг е е к м FVLP VLVLY туу гре м |е VVV [00-000 ә У 
Vy LV- VVV. 


u аттай) мед tudom nni az veget 
bajo Е 


, 
а 1 1 gler Bn mess a= 


мод lə је [өөө Beo i m i nie s2žkod 
/$ <%%3%СФ 5%ФАФ8Ф Фф АдФ6%5%: Ф; ФФ, >$=+>$ <$=$5$ =5$ 2%0%5%4%8%6%. 
#4-%4'% в5%'4/41% 940414 #4ACADA '40424,4'4 A HA 540%4'% DA'A 74$40%Е 44%. 


10415 140855 ыы d Бы ыы 45 61506 1416 [6142475 1424. 
4 ?С̧АТДМ 5а+9%с̧ 


1у00%0004040%уу02010-0ү0ө0]01000-у401Р9000-0 [060е0 


Рис. 5.6: FAR: UTF-16LE 


Здесь мы также видим ВОМ в самом начале. Все латинские буквы перемежа- 
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ются с нулевыми байтами. Некоторые буквы с диакритическими знаками (вен- 
герский и исландский языки) также подчеркнуты красным. 


Ваѕеб4 


Кодировка баѕеб4 очень популярна в тех случаях, когда нужно передать дво- 
ичные данные как текстовую строку. 


По сути, этот алгоритм кодирует З двоичных байта в 4 печатаемых символа: 
все 26 букв латинского алфавита (в обоих регистрах), цифры, знак плюса («+») 
и слэша («/»), в итоге это получается 64 символа. 


Одна отличительная особенность строк в формате Ба5е64, это то что они часто 
(хотя и не всегда) заканчиваются одним или двумя символами знака равенства 
(«=») для выравнивания (padding), например: 


AVjbbVSVfcUMu1xvjaMgjNtueRwBbxnyJw8dpGnLW8ZW8aKG3v4YOicuQT+qEJAp9lA0QuUWS= 


WjbbVSVfcUMu1xvjaMgjNtueRwBbxnyJw8dpGnLW8ZW8aKG3v4YOicuQT+qEJAp9lA0UuQ== 


Так что знак равенства («=») никогда не встречается в середине строк зако- 
дированных в баѕеб4. 


Теперь пример кодирования вручную. Попробуем закодировать шестнадцате- 
ричные байты 0x00, 0x11, 0x22, 0x33 в строку в формате баѕеб4: 


$ echo -n "\х00\х11\х22\х33" | баѕеб4 
АВЕіМи== 


Запишем все 4 байта в двоичной форме, затем перегруппируем их в 6-битные 
группы: 


| 00 || 11 || 22 || 33 || || | 
0000000000010001001000100011001177777777?77777?? 
IA ПВ ПЕ [pi ИМ Им |= |= | 


Первые три байта (0х00, 0х11, 0х22) можно закодировать в 4 раѕеб4-символа 
(“АВЕ”), но последний (0x33) — нельзя, так что он кодируется используя два 
символа (“Mw”) и раааіпо-символ (“=”) добавляется дважды, чтобы выровнять 
последнюю группу до 4-х символов. Таким образом, длина всех корректных 
раѕеб4-строк всегда делится на 4. 


Base64 часто используется когда нужно закодировать двоичные данные в XML. 
РСР-ключи и подписи в “агтогед”-виде (т.е., в текстовом) кодируются в раѕеб4. 


Некоторые люди пытаются использовать Базеб4 для обфускации строк: һїїр: 
// 0109. ѕес- сопѕиі+. сот/2016/01/е1ірегаїе1у- һіааеп- баскдоог-ассоипії - іп. 
html 9. 


Существуют утилиты для сканирования бинарных файлов и нахождения в них 
раѕеб4-строк. Одна из них это раѕеб4ѕсаппег!°. 


Энтер: //агсһіме. іѕ/прСаѕ 
10һ+трѕ : //діїћир. сот/реппіѕҮигісһеу/раѕеб4ѕсаппег 
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Еще одна система кодирования, которая была более популярна в UseNet и 
FidoNet это Оиепсоаіпд. Двоичные файлы до сих пор кодируются при NOMO- 
щи Циепсоде в журнале Рһгаск. Ее возможности почти такие же, но разница с 
раѕеб4 в том, что имя файла также передавалось в заголовке. 


Кстати, у раѕеб4 есть близкий родственник - браѕе32, алфавит которого стоит 
из 10 цифри 26 латинских букв. Известное многим использование, это опіоп- 
адрес 11, например: 

Вр: //3920р14рабки?с4т. опіоп/. URL не может содержать и строчные и 3a- 
главные латинские буквы, очевидно, по этой причине разработчики Тог исполь- 
зовали баѕе32. 


5.4.2. Поиск строк в бинарном файле 


Actually, the best form of Unix 
documentation is frequently running the 
strings command over a program’s object 
code. Using strings, you can get a complete 
list of the program's hard-coded file name, 
environment variables, undocumented 
options, obscure error messages, and so 
forth. 


The Unix-Haters Handbook 


Стандартная утилита в UNIX strings это самый простой способ увидеть стро- 
ки в файле. Например, это строки найденные в исполняемом файле 55һа из 
OpenSSH 7.2: 


0123 

0123456789 

0123456789 абсЧеТАВСРЕЕ. : / 
%02х 


‚1005, line %и: Ваа регтіореп specification <%.1005> 
„1005, line %lu: invalid criteria 
.100s, line %lu: invalid tun device 


9° 50 90 - 


5.2005/.55һ/епуігоптепі 


№ - 


2886173b9c9b6fdbdeda7a247cd636db38deaa. debug 
$2a$06$r3.juUaHZDLIbQa02dS9FuYxLIW9M81R1Tc92PoSNmzvpEqLkLGrK 


3des-cbc 

Bind to port %5 оп %5. 

Bind to port %5 оп %5 failed: %.200s. 
/bin/login 


/bin/sh 
/bin/sh /etc/ssh/sshrc 


llhttps://trac.torproject.org/projects/tor/wiki/doc/HiddenServiceNames 
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0$4Р0МВ1 
р$4РИ} 
D$4PV 
D$4PVj 
D$4PW 
D$4PWj 
D$4X 
D$4XZj 
D$4Y 


diffie-hellman-group-exchange-sha1 
diffie-hellman-group-exchange-sha256 
digests 

D$iPV 

direct-streamlocal 
direct-streamlocal@openssh.com 


FFFFFFFFFFFFFFFFC9OFDAA22168C234C4C6628B80DC1CD129024E088A6... 


Тут опции, сообщения об ошибках, пути к файлам, импортируемые модули, 
функции, и еще какие-то странные строки (ключи?) Присутствует также нечи- 
таемый шум—иногда в х86-коде бывают целые куски состоящие из печатае- 
мых А5СІІ-символов, вплоть до 8 символов. 


Конечно, OpenSSH это опен-сорсная программа. Но изучение читаемых строк 
внутри некоторого неизвестного бинарного файла это зачастую самый первый 
шаг в анализе. 


Также можно использовать дгер. 


В Ніем есть такая же возможность (Alt-F6), также как и B Sysinternals Ргосез5МопКог. 


5.4.3. Сообщения об ошибках и отладочные сообщения 


Очень сильно помогают отладочные сообщения, если они имеются. В некото- 
ром смысле, отладочные сообщения, это отчет о том, что сейчас происходит в 
программе. Зачастую, это ргіпї? ()-подобные функции, которые пишут куда- 
нибудь в лог, а бывает так что и не пишут ничего, но вызовы остались, так как 
эта сборка — не отладочная, а release. 


Если в отладочных сообщениях дампятся значения некоторых локальных или 
глобальных переменных, это тоже может помочь, как минимум, узнать их име- 
на. Например, в Oracle RDBMS одна из таких функций: Кѕӣмгї (). 


Осмысленные текстовые строки вообще очень сильно могут помочь. Дизассем- 
блер ІрА может сразу указать, из какой функции и из какого её места исполь- 
зуется эта строка. Встречаются и смешные случаи 12. 


Сообщения об ошибках также могут помочь найти то что нужно. В Oracle RDBMS 
сигнализация об ошибках проходит при помощи вызова некоторой группы функ- 


12blog.yurichev.com 
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ций. 
Тут еще немного об этом: blog.yurichev.com. 


Можно довольно быстро найти, какие функции сообщают о каких ошибках, и 
при каких условиях. 


Это, кстати, одна из причин, почему в защите софта от копирования, быва- 
ет так, что сообщение об ошибке заменяется невнятным кодом или номером 
ошибки. Мало кому приятно, если взломщик быстро поймет, из-за чего именно 
срабатывает защита от копирования, просто по сообщению об ошибке. 


Один из примеров шифрования сообщений об ошибке, здесь: 8.6.2 (стр. 1057). 


5.4.4. Подозрительные магические строки 


Некоторые магические строки, используемые в бэкдорах выглядят очень по- 
дозрительно. Например, в домашних роутерах TP-Link WR740 был бэкдор 3. 
Бэкдор активировался при посещении следующего URL: 
http://192.168.0.1/userRpmNatDebugRpm26525557/start_art.html. 
Действительно, строка «userRpmNatDebugRpm26525557» присутствует B про- 
шивке. 


Эту строку нельзя было нагуглить до распространения информации о бэкдоре. 
Вы не найдете ничего такого ни в одном ҢЕС!*. 


Вы не найдете ни одного алгоритма, который бы использовал такие странные 
последовательности байт. 


И это не выглядит как сообщение об ошибке, или отладочное сообщение. 


Так что проверить использование подобных странных строк — это всегда хо- 
рошая идея. 

Иногда такие строки кодируются при помощи браѕеб4'°. Так что неплохая идея 
их всех декодировать и затем просмотреть глазами, пусть даже бегло. 


Более точно, такой метод сокрытия бэкдоров называется «security through obscurity» 
(безопасность через запутанность). 


5.5. Вызовы аѕѕегі() 
Может также помочь наличие аѕѕегі ( ) в коде: обычно этот макрос оставляет 
название файла-исходника, номер строки, и условие. 


Наиболее полезная информация содержится в аѕѕегі-условии, по нему можно 
судить по именам переменных или именам полей структур. Другая полезная 


l3http://sekurak.pl/tp-link-httptftp-backdoor/, на русском: Ир: //т.һаргаһабг. ги/роѕї/ 
172799/ 

14Request Гог Comments 

15например, бэкдор в кабельном модеме Arris: http://www. ѕесигіту1ар. ги/апа1у1ісѕ/461497. 
рһр 
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информация — это имена файлов, по их именам можно попытаться предполо- 
жить, что там за код. Также, по именам файлов можно опознать какую-либо 
очень известную опен-сорсную библиотеку. 


Листинг 5.2: Пример информативных вызовов assert() 


.text:107D4B29 тоу ах, [есх+42һ] 

.text:107D4B2D стр едх, 1 

.text:107D4B30 jz short 1ос 107р4В4А 

.text:107D4B32 push 1ЕСһ 

.text:107D4B37 push offset awrite c ; "write.c" 

.text:107D4B3C push offset aTdTd_planarcon ; 
"td->td_planarconfig == PLANARCONFIG CON"... 

.text:107D4B41 call 5: _ assert 


.text:107D52CA mov edx, [ebp-4] 

.text:107D52CD and edx, 3 

.text:107D52D0 test edx, edx 

.text:107D52D2 jz short loc 107052Е9 

.text:107D52D4 push 58h 

.text:107D52D6 push offset aDumpmode с ; "dumpmode. с" 
.text:107D52DB push offset aN30 ; "(п & 3) == 0" 
.text:107D52E0 call 5: _ assert 


.text:107D6759 mov cx, [eax+6] 

.text:107D675D cmp ecx, ОСН 

.text:107D6760 jle short loc_107D677A 

.text:107D6762 push 2D8h 

.text:107D6767 push offset aLzw c у "ам. С" 

.text:107D676C push offset aSpLzw_nbitsBit ; "5р->17м nbits <= BITS МАХ" 
.text:107D6771 call 5: _ assert 


Полезно «гуглить» и условия и имена файлов, это может вывести вас к опен- 
сорсной библиотеке. Например, если «погуглить» «5р->17\м пб $ <= ВІТЅ МАХ», 
это вполне предсказуемо выводит на опен-сорсный код, что-то связанное с 
Е7\М-компрессией. 


5.6. Константы 
Люди, включая программистов, часто используют круглые числа вроде 10, 100, 
1000, вт.ч. и в коде. 


Практикующие реверсеры, обычно, хорошо знают их в шестнадцатеричном 
представлении: 10=0хА, 100=0х64, 1000=0х3ЕЗ, 10000=0х2710. 


Иногда попадаются константы 0хАААААААА (0610101010101010101010101010101010) 
и 
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0х55555555 (0601010101010101010101010101010101) — это чередующиеся би- 
ты. Это помогает отличить некоторый сигнал от сигнала где все биты включе- 
ны (061111...) или выключены (060000 ...). 


Например, константа 0х55АА используется как минимум в бут-секторе, МВВ:6, 
и в ПЗУ!” плат-расширений ІВМ-компьютеров. 


Некоторые алгоритмы, особенно криптографические, используют хорошо раз- 
личимые константы, которые при помощи IDA легко находить в коде. 


Например, алгоритм МО5 инициализирует свои внутренние переменные так: 


var int hO := 0х67452301 
var int h1 := 0хЕРСОАВ89 
var int h2 := 0x98BADCFE 
var int h3 := 0x10325476 


Если в коде найти использование этих четырех констант подряд — очень Bbl- 
сокая вероятность что эта функция имеет отношение к МО5. 


Еще такой пример это алгоритмы СВС16/СВСЗ2, часто, алгоритмы вычисления 
контрольной суммы по СВС используют заранее заполненные таблицы, вроде: 


Листинг 5.3: linux/lib/crc16.c 


/жж CRC table for the СВС-16. Тһе poly is 0х8005 (х^16 + х^15 + х^2 + 1) */ 
и16 const сгс16 +ар1е[256] = { 
0х0000, Өхсөс1, 0хс181, 0х0140, 0хС301, 0х03С0, 0х0280, 0хС241, 
0хС601, 0х06С0, 0х0780, 0хС741, 0х0500, 0xC5C1, 0хС481, 0х0440, 
0хСС01, 0х0ССО, 0х0р8ө, 0xCD41, 0х0г00, OxCFC1, ӨхСЕ81, 0x0E40, 


См. также таблицу СВСЗ?2: 3.6 (стр. 607). 


В бестабличных алгоритмах СВС используются хорошо известные полиномы, 
например 0хЕ0В88320 для СВСЗ2. 


5.6.1. Магические числа 


Немало форматов файлов определяет стандартный заголовок файла где ис- 
пользуются магическое число (magic number), один или даже несколько. 


Скажем, все исполняемые файлы для Win32 и MS-DOS начинаются с двух CNM- 
волов «MZ». 


В начале МІрІ-файла должно быть «МТһћа». Если у нас есть использующая для 
чего-нибудь МІрІ-файлы программа, наверняка она будет проверять МІріІ-файлы 
на правильность хотя бы проверяя первые 4 байта. 


Это можно сделать при помощи: (buf указывает на начало загруженного в na- 
мять файла) 


16Master Boot Record 
17 Постоянное запоминающее устройство 
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стр [buf], 0х64685440 ; "MThd" 
jnz _еггог пої а МІРІ file 


...либо вызвав функцию сравнения блоков памяти тетстр () или любой анало- 
гичный код, вплоть до инструкции СМРЅВ (.1.6 (стр. 1293)). 


Найдя такое место мы получаем как минимум информацию о том, где начи- 
нается загрузка МШ!-файла, во-вторых, мы можем увидеть где располагается 
буфер с содержимым файла, и что еще оттуда берется, и как используется. 


Даты 


Часто, можно встретить число вроде 0х19870116, которое явно выглядит как 
дата (1987-й год, 1-й месяц (январь), 16-й день). Это может быть чей-то день 
рождения (программиста, его/её родственника, ребенка), либо какая-то дру- 
гая важная дата. Дата может быть записана и в другом порядке, например 
0х16011987. Даты в американском стиле также популярны, например 0х01161987. 


Известный пример это 0х19540119 (магическое число используемое в структу- 
ре суперблока ОЕ52), это день рождения Маршала Кирка МакКузика, видного 
разработчика FreeBSD. 


В Stuxnet используется число “19790509” (хотя и не как 32-битное число, а как 
строка), и это привело к догадкам, что этот зловред связан с Израелем!. 


Также, числа вроде таких очень популярны в любительской криптографии, на- 
пример, это отрывок из внутренностей секретной функции донглы НАЅРЗ 19: 


void хог рма(моіа) 


{ 
int i; 
pwd^=0x09071966; 
for(i=0;i<8; i++) 
{ 
al _buf[i]= pwd & 7; pwd = pwd >> 3; 
} 
$; 
void ети1аёе Типс2 (ипѕідпеа short seed) 
{ 
int і, j; 
for(i=0;i<8; i++) 
{ 
ch[i] = 0; 


for(j=0;j<8;j++) 

{ 
seed *= 0x1989; 
seed += 5; 


18Это дата казни персидского еврея Habib Elghanian-a 
19https://web.archive.org/web/20160311231616/http ://www.woodmann . сот/ f ravia/bayu3.htm 
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ch[i] |= (tab[(seed>>9)&0x3f]) << (7-]); 


DHCP 


Это касается также и сетевых протоколов. Например, сетевые пакеты протоко- 
ла DHCP содержат так называемую magic cookie: 9х63538263. Какой-либо код, 
генерирующий пакеты по протоколу ОНСР где-то и как-то должен внедрять 
в пакет также и эту константу. Найдя её в коде мы сможем найти место где 
происходит это и не только это. Любая программа, получающая ОНСР-пакеты, 
должна где-то как-то проверять magic cookie, сравнивая это поле пакета с KOH- 
стантой. 

Например, берем файл аПсрсоге.а! из Windows 7 x64 и ищем эту константу. 
И находим, два раза: оказывается, эта константа используется в функциях с 


красноречивыми названиями 
DhcpExtractO0ptionsForValidation() и DhcpExtractFullOptions(): 


Листинг 5.4: dhcpcore.dll (Windows 7 x64) 


|. rdata :000007FF6483CBE8 dword_7FF6483CBE8 dd 63538263h ; DATA XREF: | 
ОһсрЕхїгасїОрї1оп5$Еог\/а11даї1оп+79 
| . гаа+а:000007ЕЕ6483СВЕС dword_7FF6483CBEC dd 63538263h ; DATA XREF: | 


DhcpExtractFullO0ptions+97 
] 


А вот те места в функциях где происходит обращение к константам: 


Листинг 5.5: dhcpcore.dll (Windows 7 x64) 


. text :000007FF6480875F тоу eax, [rsi] 
.text:000007FF64808761 стр eax, cs:dword_7FF6483CBE8 
.text:000007FF64808767 jnz loc_7FF64817179 

И: 

Листинг 5.6: dhcpcore.dll (Windows 7 x64) 
.text:000007FF648082C7 mov eax, [r12] 
.text:000007FF648082CB стр eax, cs:dword_7FF6483CBEC 
.text:000007FF648082D1 jnz loc_7FF648173AF 


5.6.2. Специфические константы 


Иногда, бывают какие-то специфические константы для некоторого типа кода. 
Например, однажды автор сих строк пытался разобраться с кодом, где подо- 
зрительно часто встречалось число 12. Размеры многих массивов также были 
12, или кратные 12 (24, ит. д.). Оказалось, этот код брал на вход 12-канальный 
аудиофайл и обрабатывал его. 
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И наоборот: например, если программа работает с текстовым полем длиной 
120 байт, значит где-то в коде должна быть константа 120, или 119. Если ис- 
пользуется ЦТЕ-16, то тогда 2. 120. Если код работает с сетевыми пакетами 
фиксированной длины, то хорошо бы и такую константу поискать в коде. 


Это также справедливо для любительской криптографии (ключи с лицензией, 
ит. д.). Если зашифрованный блок имеет размер в » байт, вы можете попробо- 
вать поискать это число в коде. Также, если вы видите фрагмент кода, который 
при исполнении, повторяется » раз в цикле, это может быть ф-ция шифрова- 
ния/дешифрования. 


5.6.3. Поиск констант 


В IDA это очень просто, АК-В или Alt-l. 


А для поиска константы в большом количестве файлов, либо для поиска их в 
неисполняемых файлах, имеется небольшая утилита binary grep”. 


5.7. Поиск нужных инструкций 


Если программа использует инструкции сопроцессора, и их не очень много, то 
МОЖНО попробовать вручную проверить отладчиком какую-то из них. 


К примеру, нас может заинтересовать, при помощи чего Microsoft Excel считает 
результаты формул, введенных пользователем. Например, операция деления. 


Если загрузить ехсе!.ехе (из Office 2010) версии 14.0.4756.1000 в IDA, затем 
сделать полный листинг и найти все инструкции FDIV (но кроме тех, которые 
в качестве второго операнда используют константы — они, очевидно, не под- 
ходят нам): 


cat EXCEL.lst | grep fdiv | grep -v абі > ЕХСЕЕ. #аім 


...то окажется, что их всего 144. 


Мы можем вводить в Ехсе! строку вроде =(1/3) и проверить все эти инструк- 
ции. 


Проверяя каждую инструкцию в отладчике или tracer (проверять эти инструк- 
ции можно по 4 за раз), окажется, что нам везет и срабатывает всего лишь 
14-я по счету: 


.text:3011E919 рс 33 Тату qword ріг [ebx] 


PID=13944 |TID=28744| (0) 0x2f64e919 (Excel.exe !BASE+0x11e919) 
EAX=0x02088006 ЕВХ=0х02088018 ECX=0x00000001 EDX=0x00000001 
ESI=0x02088000 EDI=0x00544804 EBP=0x0274FA3C ESP=0x0274F9F8 
EIP=0x2F64E919 

FLAGS=PF IF 

FPU Controlword=IC RC=NEAR PC=64bits PM UM OM ZM DM IM 


20GitHub 
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FPU StatusWord= 
FPU ST(0): 1.000000 


B ST (0) содержится первый аргумент (1), второй содержится B [EBX]. 


Следующая за FDIV инструкция (Е5ТР) записывает результат в память: 


.Хехї:3011Е91В рр 1E fstp qword ptr [esi] 


Если поставить breakpoint на ней, то мы можем видеть результат: 


Р10=32852 |Т10=36488 | (0) 0х2140е916 (Ехсе1.ехе!ВАЅЕ+0х11е916) 
ЕАХ=0х00598006 ЕВХ=0х00598018 ЕСХ=0х00000001 ЕрХ=0х00000001 
Е51=0х00598000 Ер1=0х00294804 ЕВР=0х026СРЕ9ЗС ЕЅ5Р=0х026СЕ8Е8 
ЕТР=0х2Е40Е91В 

FLAGS=PF ТЕ 

FPU ControlWord=IC ВС=МЕАК PC=64bits РМ UM OM ZM рм IM 

FPU StatusWord=C1 P 

FPU ST(0): 0.333333 


А также, в рамках пранка?', модифицировать его на лету: 


tracer -1:ехсе1.ехе Брх=ехсе1 .ехе!ВАЗЕ+0х11Е9Э1В , ѕеї (510,666) 


Р10=36540 |Т10=24056 | (0) 0х2#40е916 (Ехсе!.ехе!ВАЗЕ+0х11е91Ь) 
ЕАХ=0х00680006 ЕВХ=0х00680018 ЕСХ=0х00000001 ЕрХ=0х00000001 
Е51=0х00680000 Ер1=0х00395404 ЕВР=0х0290Е09С Е5Р=0х0290Е058 
ЕТР=0х2Е40Е91В 

FLAGS=PF ТЕ 

FPU ControlWord=IC ВС=МЕАК PC=64bits РМ UM OM ZM рм IM 

FPU StatusWord=C1 P 

FPU ST(0): 0.333333 

Set STO register to 666.000000 


Excel показывает B этой ячейке 666, что окончательно убеждает нас B TOM, что 
мы нашли нужное место. 


2lpractical joke 
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Рис. 5.7: Пранк сработал 


Если попробовать ту же версию Excel, только X64, то окажется что там инструк- 
ций РОТУ всего 12, причем нужная нам — третья по счету. 


{гасег.ехе -1:ехсе1.ехе брх=ехсе1 .ехе!ВАЗЕ+0х1В7ЕСС ‚, ѕеї (510,666) 


Видимо, все дело в том, что много операций деления переменных типов float и 
double компилятор заменил на 55Е-инструкции вроде DIVSD, коих здесь теперь 
действительно много (DIVSD присутствует в количестве 268 инструкций). 


5.8. Подозрительные паттерны кода 


5.8.1. Инструкции ХОК 


Инструкции вроде XOR ор, ор (например, XOR EAX, EAX) обычно используются 
для обнуления регистра, однако, если операнды разные, то применяется опе- 
рация именно «исключающего или». Эта операция очень редко применяется 
в обычном программировании, но применяется очень часто в криптографии, 
включая любительскую. 


Особенно подозрительно, если второй операнд — это большое число. Это мо- 
жет указывать на шифрование, вычисление контрольной суммы, ит. д. 


Одно из исключений из этого наблюдения о котором стоит сказать, то, что 
генерация и проверка значения «канарейки» (1.26.3 (стр. 355)) часто происхо- 
дит, используя инструкцию XOR. 


Этот АМ/К-скрипт можно использовать для обработки листингов (.lst) создан- 
ных IDA: 


gawk -e '$2=="хог" { tmp=substr($3, 0, length($3)-1); if (1тр!=$4) if($4!="7 
„ esp") if ($4!="ebp") { print $1, $2, tmp, ",", $4 } }' filename. 151 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Нельзя также забывать, что подобный скрипт может захватить и неверно ди- 
зассемблированный код (5.11.1 (стр. 931)). 


5.8.2. Вручную написанный код на ассемблере 


Современные компиляторы не генерируют инструкции LOOP и ВСЕ. С другой 
стороны, эти инструкции хорошо знакомы кодерам, предпочитающим писать 
прямо на ассемблере. Подобные инструкции отмечены как (М) в списке ин- 
струкций в приложении: .1.6 (стр. 1285). Если такие инструкции встретились, 
можно сказать с какой-то вероятностью, что этот фрагмент кода написан вруч- 
ную. 


Также, пролог/эпилог функции обычно не встречается в ассемблерном коде, 
написанном вручную. 


Как правило, во вручную написанном коде, нет никакого четкого метода пере- 
дачи аргументов в функцию. 


Пример из ядра Windows 2003 (файл ntoskrnl.exe): 


MultiplyTest proc near ; CODE XREF: Get386Stepping 
xor CX, CX 

loc 620555: ; CODE XREF: MultiplyTest+E 
push сх 
са11 Multiply 
pop сх 
jb short locret_620563 
loop loc_ 620555 
clc 

locret_620563: ; CODE XREF: MultiplyTest+C 
retn 


MultiplyTest endp 


Multiply proc near ; CODE XREF: MultiplyTest+5 
mov ecx, 81h 
mov eax, 417A000h 
mul ecx 
cmp edx, 2 
stc 
jnz short locret_62057F 
cmp eax, ОЕЕ7АОООһ 
stc 
jnz short locret_62057F 
clc 
locret_62057F: ; CODE XREF: Multiply+10 
; Multiply+18 
retn 


Multiply endp 


Действительно, если заглянуть в исходные коды М/ВК?? v1.2, данный код MOX- 
но найти в файле 


22Windows Research Kernel 
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И/ВК-у1.2\Базе\пто5\Ке\!/386\сри.азт. 


А инструкцию RCL, я смог найти в файле ntoskrnl.exe из Windows 2003 х86 (ком- 
пилятор MS Visual С). Она встречается только один раз, 

в ф-ции RtlExtendedLargeIntegerDivide(), и это может быть вставка на aC- 
семблере. 


5.9. Использование magic numbers для трассиров- 
ки 


Нередко бывает нужно узнать, как используется то или иное значение, прочи- 
танное из файла либо взятое из пакета, принятого по сети. Часто, ручное сле- 
жение за нужной переменной это трудный процесс. Один из простых методов 
(хотя и не полностью надежный на 100%) это использование вашей собствен- 
ной magic number. 


Это чем-то напоминает компьютерную томографию: пациенту перед сканиро- 
ванием вводят в кровь рентгеноконтрастный препарат, хорошо отсвечиваю- 
щий в рентгеновских лучах. Известно, как кровь нормального человека рас- 
ходится, например, по почкам, и если в этой крови будет препарат, то при 
томографии будет хорошо видно, достаточно ли хорошо кровь расходится по 
почкам и нет ли там камней, например, и прочих образований. 


Мы можем взять 32-битное число вроде Охдбаа?00а, либо чью-то дату рожде- 
ния вроде 0х11101979 и записать это, занимающее 4 байта число, в какое-либо 
место файла используемого исследуемой нами программой. 


Затем, при трассировке этой программы, в том числе, при помощи tracer в pe- 
жиме code соуегаде, а затем при помощи дгер или простого поиска по тексто- 
вому файлу с результатами трассировки, мы можем легко увидеть, в каких 
местах кода использовалось это значение, и как. 


Пример результата работы їгасег в режиме сс, к которому легко применить 
утилиту grep: 


0х1506#66 ( К2іаіа+0х14), e= 1 [MOV EBX, [ЕВР+8]] [ЕВР+8]=0х#59с934 

0х1506+#69 (_К71а1а+0х17), e= 1 [MOV EDX, [69AEBO8h]] [69АЕВОЗН]=09 

0x150bf6f (_kziaia+0x1d), e= 1 [FS: MOV EAX, [2Ch]] 

0x150bf75 (_К71а1а+0х23), e= 1 [MOV ECX, [EAX+EDX*4]] [ЕАХ+ЕОХж4]=0 2 
„ xflac360 

0x150bf78 (_kziaia+0x26), e= 1 [МОУ [ЕВР-4], ECX] ECX=0xf1lac360 


Это справедливо также и для сетевых пакетов. Важно только, чтобы наш тадїс 
number был как можно более уникален и не присутствовал в самом коде. 


Помимо tracer, такой эмулятор MS-DOS как роѕВох, в режиме heavydebug, mo- 
жет писать в отчет информацию обо всех состояниях регистра на каждом шаге 
исполнения программы?3, так что этот метод может пригодиться и для иссле- 
дования программ под DOS. 


23См. также мой пост в блоге об этой возможности в DosBox: blog.yurichev.com 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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5.10. Циклы 


Когда ваша программа работает с некоторым файлом, или буфером некоторой 
длины, внутри кода где-то должен быть цикл с дешифровкой/обработкой. 


Вот реальный пример выхода инструмента {гасег. Был код, загружающий неко- 
торый зашифрованный файл размером 258 байт. Я могу запустить его с целью 
подсчета, сколько раз была исполнена каждая инструкция (в наше время ОВ! 
послужила бы куда лучше). И я могу быстро найти место в коде, которое было 
исполнено 259/258 раз 


0x45a6b5 e= 1 [FS: MOV [0], EAX] EAX=0x218fb08 

0x45a6bb e= 1 [MOV [EBP-254h], ECX] ECX=0x218fbd8 
0x45a6c1 e= 1 [MOV EAX, [EBP-254h]] [EBP-254h]=0x218fbd8 
0x45a6c7 e= 1 [СМР [ЕАХ+14һ], 0] [EAX+14h]=0x102 
0х45абсЬ e= 1 [JZ 45А9Е2һ] 2Е=Ға1ѕе 

0x45a6d1 e= 1 [MOV [EBP-0Dh], 1] 

0x45a6d5 e= 1 [XOR ECX, ECX] ECX=0x218fbd8 

0x45a6d7 e= 1 [MOV [EBP-14h], CX] CX=0 

0x45a6db e= 1 [MOV [EBP-18h], 0] 

0x45a6e2 e= 1 [JMP 45А6Ерһ] 


0х45абе4 e= 258 [MOV EDX, [EBP-18h]] [EBP-18h]=0..5 (248 items skipped) 02 
S xfd..0x101 

0x45a6e7 e= 258 [ADD EDX, 1] EDX=0..5 (248 items skipped) Охта. .0х101 

0x45a6ea e= 258 [MOV [EBP-18h], EDX] EDX=1..6 (248 items skipped) бхте..0/ 
S x102 

0x45a6ed e= 259 [MOV EAX, [EBP-254h]] [EBP-254h]=0x218fbd8 

0x45a6f3 e= 259 [MOV ECX, [EBP-18h]] [EBP-18h]=0..5 (249 items skipped) 02 
S xfe..0x102 

0x45a6f6 e= 259 [СМР ECX, [EAX+14h]] ECX=0..5 (249 items skipped) Oxfe..02 
ъ x102 [EAX+14h]=0x102 

0x45a6f9 e= 259 [JNB 45A727h] CF=false,true 

0x45a6fb e= 258 [MOV EDX, [EBP-254h]] [EBP-254h]=0x218fbd8 

0x45a701 e= 258 [MOV EAX, [EDX+10h]] [EDX+10h]=0x21ee4c8 

0x45a704 e= 258 [MOV ECX, [EBP-18h]] [EBP-18h]=0..5 (248 items skipped) 02 
S xfd..0x101 

0x45a707 e= 258 [ADD ECX, 1] ECX=0..5 (248 items skipped) 0х?а. .0х101 

0x45a70a e= 258 [IMUL ECX, ECX, 1Fh] ECX=1..6 (248 items skipped) бхте..0/ 
S x102 

0x45a70d e= 258 [MOV EDX, [EBP-18h]] [EBP-18h]=0..5 (248 items skipped) 02 
S xfd..0x101 

0x45a710 e= 258 [MOVZX EAX, [EAX+EDX]] [EAX+EDX]=1..6 (156 items skipped) 02 
S xf3, Ох#8, 0xf9, Oxfc, Охта 

0х45а714 e= 258 [XOR EAX, ECX] ЕАХ=1..6 (156 items skipped) 0xf3, 0xf8, 02 
У xf9, Oxfc, Oxfd ECX=0x1f, 0x3e, 0x5d, 0х7с, 0x9b (248 items skipped) 2 
S 0х1ес2, 0х1ее1, 0x1f00, Ox1f1f, 0x1f3e 

0x45a716 e= 258 [MOV ECX, [EBP-254h]] [EBP-254h]=0x218fbd8 

0x45a71c e= 258 [MOV EDX, [ECX+10h]] [ЕСХ+10һ]=0х21ее4с8 

0x45a71f e= 258 [MOV ECX, [EBP-18h]] [EBP-18h]=0..5 (248 items skipped) 02 
S xfd..0x101 

0x45a722 e= 258 [MOV [EDX+ECX], AL] AL=0..5 (77 items skipped) 0xe2, дхее, / 
S Oxef, Oxf7, Oxfc 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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0х45а725 
0х45а727 
0х45а729 
0х45а72# 
0х45а734 
0х45а736 
0х45а73Ь 


е= 
е= 
е= 
е= 
е= 
е= 
е= 


258 


нњ на на на на 


[МР 45АбЕ4һ] 

[PUSH 5] 

[MOV ECX, [ЕВР-2541]] [ЕВР-2548]=0х2181698 
[CALL 4585001] 

[MOV ECX, EAX] EAX=0x218fbd8 

[CALL 45B710h] 

[СМР ЕАХ, 5] ЕАХ=5 


Как потом оказалось, это цикл дешифрования. 


5.10.1. Некоторые паттерны в бинарных файлах 


Все примеры здесь были подготовлены в Windows с активной кодовой страни- 
цей 437 в консоли. Двоичные файлы внутри могут визуально выглядеть иначе 
если установлена другая кодовая страница. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Массивы 


Иногда мы можем легко заметить массив 16/32/64-битных значений визуально, 
в шестнадцатеричном редакторе. 


Вот пример массива 16-битных значений. Мы видим, что каждый первый байт 
в паре всегда равен 7 или 8, а второй выглядит случайным: 


Рис. 5.8: ЕАВ: массив 16-битных значений 


Для примера я использовал файл содержащий 12-канальный сигнал оцифро- 
ванный при помощи 16-битного АРС. 


24 Analog-to-Digital Converter 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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А вот пример очень типичного М!Р5-кода. 


Как мы наверное помним, каждая инструкция в MIPS (а также в ARM в режиме 
ARM, или ААМ64) имеет длину 32 бита (или 4 байта), так что такой код это 
массив 32-битных значений. 


Глядя на этот скриншот, можно увидеть некий узор. Вертикальные красные 
линии добавлены для ясности: 


00005000 
00005000: 30-04 
00005010: 3С-21 
00005020: 3С-25 | аб<%5с в Па pE 
00005030: 27-Е8 ! В d'o 1:2: ыы dn 
00005040: 80-21 | СМ!Ёай 93<!ш!8 
00005050: 34-24 f В4$8Ь аВ<%8С 
00005069: 8Е-е8 : Я Јпа раз 11° 1: 
00005070: 00-04 
00005080: 3С-21 
00005090: 8Е-08 
00005040: 7С-А@ | О)Ыа 8<!ш!8< bm 
0@005ӨВ@: 8Е-@8 | Я Јпа рва A'o 1: 
000050C0: 3cŁ04 | 8<8 dng СМ!Ёай 


00005000: 03-С4 i twl AJA Сма 4N 
000050E0: 03-08 | Я рй d'o 1'аВ< 
000050F9: АЕ-20 ! Я п См!Ёава B$ 
00005100: 03-44 | 1ш ОГ | Сма dN 


00005110: 03-08 Я рй 1'° 1:= 8‹ 
00005120: АЕ-20 L Adn СМ!Ёав'ш 
00005130: 7c-20 | 05| Сма INA pA 
00005140: 27}F8 я d'o J'A dn 
00005150: 8c-01 ЬМЯ 8$5е9)9 8$ 
00005160: АС-04 bmē{" } НВ | BAR} 
00005170: 10 АС-21 рм! Ёа8!8 а < 
00005180: 51 24-02 a$a ИФ Йо DA 
00005190: 25 01-01 A с$8 һн- jE 
00005140: 04 24-21 Д$!Н а 8<8 B$ 
00005180: 02 94-00 до nO $8 И 
1619551 ЕВЕ 1 кеса& Estrin Direct: Table № о 1 


га 


ё о ага га 


a a 


Рис. 5.9: Нем: очень типичный код для MIPS 


Еще пример таких файлов в этой книге: 9.5 (стр. 1225). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Разреженные файлы 


Это разреженный файл, в котором данные разбросаны посреди почти пустого 
файла. Каждый символ пробела здесь на самом деле нулевой байт (который 
выглядит как пробел). Это файл для программирования FPGA (чип Altera Stratix 
СХ). Конечно, такие файлы легко сжимаются, но подобные форматы очень по- 


пулярны в научном и инженерном ПО, где быстрый доступ важен, а компакт- 
ность — не очень. 


Рис. 5.10: FAR: Разреженный файл 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Сжатый файл 


Этот файл это просто некий сжатый архив. Он имеет довольно высокую эн- 
тропию и визуально выглядит просто хаотичным. Так выглядят сжатые и/или 
зашифрованные файлы. 


Рис. 5.11: FAR: Сжатый файл 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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СОЕ5$-> 


Инсталляции ОС обычно распространяются в 150-файлах, которые суть копии 
СО/О\МО-дисков. Используемая файловая система называется CDFS, здесь BNA- 
ны имена файлов и какие-то дополнительные данные. Это могут быть длины 
файлов, указатели на другие директории, атрибуты файлов, и т. д. Так может 
выглядеть типичная файловая система внутри. 


Рис. 5.12: FAR: 150-файл: инсталляционный СО?° Ubuntu 15 


25Сотрасі Disc File System 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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32-битный х86 исполняемый код 


Так выглядит 32-битный х86 исполняемый код. У него не очень высокая энтро- 
пия, потому что некоторые байты встречаются чаще других. 


Рис. 5.13: ЕАВ: Исполняемый 32-битных х86 код 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Графические ВМР-файлы 


ВМР-файлы не сжаты, так что каждый байт (или группа байт) описывают каж- 
дый пиксель. Я нашел эту картинку где-то внутри заинсталлированной Windows 
8.1: 


Microsoft® 


Рис. 5.14: Пример картинки 


Вы видите, что эта картинка имеет пиксели, которые вряд ли могут быть хоро- 
шо сжаты (в районе центра), но здесь есть длинные одноцветные линии вверху 
и внизу. Действительно, линии вроде этих выглядят как линии при просмотре 
этого файла: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


Цо ооооооььњовьввовооеоовоеове-е-ө=ө=өөө=ө=ө== 


00466666. 6-6 - -p 


ы е лая 


Рис. 5.15: Фрагмент ВМР-файла 


5.10.2. Сравнение «снимков» памяти 


Метод простого сравнения двух снимков памяти для поиска изменений часто 
применялся для взлома игр на 8-битных компьютерах и взлома файлов с запи- 
санными рекордными очками. 


К примеру, если вы имеете загруженную игру на 8-битном компьютере (где 
самой памяти не очень много, но игра занимает еще меньше), и вы знаете что 
сейчас у вас, условно, 100 пуль, вы можете сделать «снимок» всей памяти и 
сохранить где-то. Затем просто стреляете куда угодно, у вас станет 99 пуль, 
сделать второй «снимок», и затем сравнить эти два снимка: где-то наверняка 
должен быть байт, который в начале был 100, а затем стал 99. 


Если учесть, что игры на тех маломощных домашних компьютерах обычно бы- 
ли написаны на ассемблере и подобные переменные там были глобальные, то 
можно с уверенностью сказать, какой адрес в памяти всегда отвечает за ко- 
личество пуль. Если поискать в дизассемблированном коде игры все обраще- 
ния по этому адресу, несложно найти код, отвечающий за уменьшение пуль и 
записать туда инструкцию МОР или несколько МОР-в, так мы получим игру в 
которой у игрока всегда будет 100 пуль, например. 


А так как игры на тех домашних 8-битных компьютерах всегда загружались 
по одним и тем же адресам, и версий одной игры редко когда было больше 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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одной продолжительное время, то геймеры-энтузиасты знали, по какому ад- 
ресу (используя инструкцию языка BASIC POKE) что записать после загрузки 
игры, чтобы хакнуть её. Это привело к появлению списков «читов» состоящих 
из инструкций РОКЕ, публикуемых в журналах посвященным 8-битным играм. 


Точно так же легко модифицировать файлы с сохраненными рекордами (кто 
сколько очков набрал), впрочем, это может сработать не только с 8-битными 
играми. Нужно заметить, какой у вас сейчас рекорд и где-то сохранить файл 
с очками. Затем, когда очков станет другое количество, просто сравнить два 
файла, можно даже 005-утилитой ЕС?” (файлы рекордов, часто, бинарные). 


Где-то будут отличаться несколько байт, и легко будет увидеть, какие именно 
отвечают за количество очков. Впрочем, разработчики игр полностью осведом- 
лены о таких хитростях и могут защититься от этого. 


В каком-то смысле похожий пример в этой книге здесь: 9.3 (стр. 1210). 


Реальная история из 1999 


В то время был популярен мессенджер ICQ, по крайней мере, в странах быв- 
шего СССР. У мессенджера была особенность — некоторые пользователи не 
хотели, чтобы все знали, в онлайне они или нет. И для начала у того пользо- 
вателя нужно было запросить авторизацию. Тот человек мог разрешить вам 
видеть свой статус, а мог и не разрешить. 


Автор сих строк сделал следующее. 
• Добавил человека. Он появился в контакт-листе, в разделе “wait for authorization”. 
e Выгрузил ICQ. 
• Сохранил базу ICQ в другом месте. 
• Загрузил ICQ снова. 
* Человек авторизировал. 
• Выгрузил ICQ и сравнил две базы. 


Выяснилось: базы отличались только одним байтом. В первой версии: КЕЗИ\х63, 
во второй RESU\x02. (“RESU”, надо думать, означало “USER”, T.e., заголовок 
структуры, где хранилась информация о пользователе.) Это означало, что ин- 
формация об авторизации хранилась не на сервере, а в клиенте. Вероятно, 
значение 2/3 отражало статус авторизированности. 


Реестр Windows 


А еще можно вспомнить сравнение реестра Windows до инсталляции програм- 
мы и после. Это также популярный метод поиска, какие элементы реестра про- 
грамма использует. 


Наверное это причина, почему так популярны ѕһћагемаге-программы для очист- 
ки реестра в Windows. 


27утилита MS-DOS для сравнения двух файлов побайтово 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


931 


Кстати, вот как сдампить реестр в Windows в текстовые файлы: 


гед export HKLM HKLM. гед 
reg export HKCU HKCU. reg 
reg export HKCR HKCR. reg 
reg export HKU HKU. reg 

reg export HKCC HKCC. reg 


Затем их можно сравнивать используя diff... 


Инженерное ПО, САБ-ы, ит. д. 


Если некое ПО использует закрытые (проприетарные) файлы, то и тут можно 
попытаться что-то выяснить. Сохраняете файл. Затем добавили точку, или ли- 
нию, или еще какой примитив. Сохранили файл, сравнили. Или сдвинули точку 
в сторону, сохранили файл, сравнили. 


Блинк-компаратор 


Сравнение файлов или слепков памяти вообще, немного напоминает блинк- 
компаратор 2: устройство, которое раньше использовали астрономы для NO- 
иска движущихся небесных объектов. 


Блинк-компаратор позволял быстро переключаться между двух отснятых в 
разное время кадров, и астроном мог увидеть разницу визуально. 


Кстати, при помощи блинк-компаратора, в 1930 был открыт Плутон. 


5.11. Определение ISA 


Часто, вы можете иметь дело с бинарным файлом для неизвестной ISA. Bepo- 
ятно, простейший способ определить ISA это пробовать разные в IDA, objdump 
или другом дизассемблере. 


Чтобы этого достичь, нужно понимать разницу между некорректно дизассем- 
блированным кодом, и корректно дизассемблированным. 


5.11.1. Неверно дизассемблированный код 


Практикующие reverse епдіпеег-ы часто сталкиваются с неверно дизассембли- 
рованным кодом. 


Дизассемблирование началось в неверном месте (х86) 


В отличие от ARM и MIPS (где у каждой инструкции длина или 2 или 4 байта), 
х86-инструкции имеют переменную длину, так что, любой дизассемблер, начи- 
ная работу с середины х86-инструкции, может выдать неверные результаты. 


Как пример: 


28һ++рѕ: //ги.мікіредіа.огод/мікі/Блинк- компаратор 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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ааа [ebp-31F7Bh], cl 

dec dword ptr [ecx-3277Bh] 
dec dword ptr [ebp-2CF7Bh] 
inc dword ptr [ebx-7A76F33Ch] 
fdiv st(4), st 

db OFFh 

dec dword ptr [ecx-21F7Bh] 
dec dword ptr [ecx-22373h] 
dec dword ptr [ecx-2276Bh] 
dec dword ptr [ecx-22B63h] 
dec dword ptr [ecx-22F4Bh] 
dec dword ptr [ecx-23343h] 
jmp dword ptr [esi-74h] 

xchg eax, ebp 

clc 

std 

db OFFh 

db OFFh 

mov word ptr [ebp-214h], cs ; <- дизассемблер наконец нашел здесь 


правильный старт 
mov word ptr [ebp-238h], ds 


mov word ptr [ebp-23Ch], es 
mov word ptr [ebp-240h], fs 
mov word ptr [ebp-244h], gs 
pushf 

pop dword ptr [ebp-210h] 
mov eax, [ebp+4] 

mov [ebp-218h], eax 

lea eax, [ebp+4] 

mov [ebp-20Ch], eax 

mov dword ptr [ebp-2D0h], 10001h 
mov eax, [еах-4] 

mov [ebp-21Ch], eax 

mov eax, [ebp+0Ch] 

mov [ebp-320h], eax 

mov eax, [ebp+10h] 

mov [ebp-31Ch], eax 

mov eax, [ebp+4] 

mov [ebp-314h], eax 

call ds :IsDebuggerPresent 
mov edi, eax 

lea eax, [ebp-328h] 

push eax 

call sub 407663 

pop ecx 

test eax, eax 

jnz short loc 40207В 


В начале мы видим неверно дизассемблированные инструкции, но потом, так 


или иначе, дизассемблер находит верный след. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Как выглядят случайные данные в дизассемблированном виде? 


Общее, что можно сразу заметить, это: 


• Необычно большой разброс инструкций. Самые частые х86-инструкции 
это PUSH, MOV, CALL, но здесь мы видим инструкции из любых групп: FPU- 
инструкции, инструкции IN/OUT, редкие и системные инструкции, всё друг 
с другом смешано в одном месте. 


• Большие и случайные значения, смещения, immediates. 


• Переходы с неверными смещениями часто имеют адрес перехода в cepe- 
дину другой инструкции. 


Листинг 5.7: случайный шум (х86) 


тоу bl, OCh 

mov ecx, 0D38558Dh 
mov eax, ds:2C869A86h 
db 67h 

mov dl, OCCh 

insb 

movsb 

push eax 

xor [edx-53h], аһ 
fcom qword ptr [edi-45A0EF72h] 
pop esp 

pop 55 

їп eax, dx 

dec ebx 

push esp 

lds esp, [esi-41h] 
retf 

rcl dword ptr [eax], cl 
mov cl, 9Ch 

mov ch, ODFh 

push С5 

insb 

mov esi, 0D9C65E4Dh 
imul ebp, [ecx], 66h 
pushf 

sal dword ptr [ebp-64h], cl 
sub eax, 0AC433D64h 
out 8Ch, eax 

pop 55 

sbb [eax], ebx 

aas 


xchg cl, [ebx+ebx*x4+14B31Eh] 
jecxz short near ptr loc_58+1 
xor al, OC6h 


inc edx 
db 36h 
pusha 
stosb 


test [ebx], ebx 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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sub al, Өрзһ ; 'L' 
pop eax 
stosb 


loc_58: ; CODE XREF: seg000:0000004A 


test [esi], eax 

inc ebp 

das 

db 64h 

pop ecx 

das 

hlt 

pop edx 

out OBOh, al 

lodsb 

push ebx 

cdq 

out dx, al 

sub al, OAh 

sti 

outsd 

add dword ptr [edx], 96FCBE4Bh 
and eax, 0E537EE4Fh 
inc esp 

stosd 

cdq 

push ecx 

in al, ОСВһ 

mov ds:0D114C45Ch, al 
mov esi, 659D1985h 


Листинг 5.8: случайный шум (x86-64) 


Теа esi, [гах+гӣахж4+43558р29һ] 

Тос АРЗ: ; CODE XREF: 5е9000: 0000000000000В846 
rcl byte ptr [г5і+гахж8+29ВВ423ЗАҺ]|, 1 
lea ecx, с<:0ЕЕЕЕЕЕЕЕВ2А6780Еһ 
mov al, 96h 
mov аһ, ОСЕһ 
push rsp 
lods byte ptr [esi] 
db 2Fh ; / 
pop rsp 
db 64h 
retf 0E993h 
cmp ah, [rax+4Ah] 
тоу2х rsi, амога ptr [rbp-25h] 
push 4Ah 


movzx rdi, dword ptr [rdi+rdx*8] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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db 9Ah 


rcr 
lodsd 
xor 
xor 
push 
sbb 
stosd 
int 
db 
out 
xchg 
test 
movsd 
leave 
push 


db 16h 


xchg 
pop 


byte ptr [rax+1Dh], cl 


[ rbp+6CF20173h], edx 
[ rop+66F8B593h], edx 
rbx 

ch, [rbx-0Fh] 


87h 

46h, 4Ch 
33h, rax 
eax, ebp 
ecx, ebp 


rsp 


eax, esi 
rdi 


loc_B3D: ; CODE XREF: seg000:0000000000000B5F 


mov 
jnz 
out 
cwde 
mov 
movsb 
pop 


ds :93CA685DF98A90F9h, eax 
short near ptr loc_AF3+6 
dx, eax 

bh, 5Dh ; ']' 


rbp 


Листинг 5.9: случайный шум (ARM (Режим АВМ)) 


ВЕМЕ 0xFE16A9D8 
BGE 0x1634D0C 
SVCCS 0x450685 


STRNVT R5, 
LDCGE p6, 
STCCSL p9, 
CMNHIP PC, 


[PC] ,#-0x964 
c14, [RO] ,#0x168 
c9, [LR], #0х14С 
R10 ,LSL#22 


FLDMIADNV LR!, {D4} 


MCR p5, 


2, R2,c15,c6, 4 


BLGE 0x1139558 
BLGT 0xFF9146E4 


STRNEB R5, 
STMNEIB R5, 
STMIA R8, 
STRB SP, 
LDCCS p9, 
LDRGE R8, 
STRNEB R5, 
STCCSL p15, 


[R4] ,#0xCA2 
{RO,R4, R6 ,R7,R9-SP, PC} 
{RO ,R2-R4,R7,R8,R10,SP,LR}^ 
[R8] , PC, ROR#18 
c13, [R6,#0x1BC] 
[R9 ,#0x66E] 
[R8] , #-0x8C3 
c9, [R7,#-0x84] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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RSBLS LR, А2, R11,ASR LR 

SVCGT 0x9B0362 

SVCGT 0xA73173 

STMNEDB В11!, {R0O,R1,R4-R6,R8,R10,R11,SP} 


RO, [R3] ,#-0xCE4 


LDCGT p15, c8, [R1,#0x2CC] 
LDRCCB R1, [R11] ,-R7 ,ROR#30 
BLLT OxFED9D58C 


0x13E60F4 


LDMVSIB R3!, {R1,R4-R7}^ 
USATNE R10, #7, SP,LSL#11 


LDRG 


ЕВ LR, [R1] ,#0хЕ5б 


STRPLT R9, [LR], #0х567 
LDRLT R11, [R1] ,#-0x29B 


SVCN 
MVNN 


V 0х12рВ29 
VS R5, SP,LSL#25 


LDCL p8, c14, [В12,#-0х288] 


STCN 
SVCN 
BLX 

TEQG 
STML 
BICP 
BNE 

TEQG 
SUBS 
BICV 
LDRM 
BLMI 
STMV 
ЕОВМ 
МСВВ 


EL p2, сб, [В6,#—ӨхВС]! 

V  Ох2ЕБА?Е 
0х1А8С97Е 

Е ВАЗ, #0х1100000 

SIA R6, {R3,R6,R10,R11,SP} 

LS R12, R2, #0x5800 
0x7CC408 

Е А2, R4,LSL#20 
R1, R11, #0х28С 

S ВЗ, R12, R7,ASR RỌ 

І R7, [LR],R3,LSL#21 
0х1А79234 

CDB Аб, {RO-R3,R6,R7,R10,R11} 

I R12, R6, #0хС5 

CS pl, ӨхЕ, R1,R3,c2 


Листинг 5.10: случайный шум (ARM (Режим Thumb)) 


585 АЗ, R6, #0х12 
ІОАН R1, [А7,#0х2С] 
SUBS RO, #0x55 ; 'U' 
ADR R1, loc 3C 

LDR R2, [SP,#0x218] 
CMP R4, #0x86 

SXTB R7, R4 

LDR R4, [R1,#0x4C] 
STR R4, [R4,R2] 

STR RO, [R6,#0x20] 
BGT OxFFFFFF72 

LDRH R7, [R2,#0x34] 
LDRSH RO, [R2,R4] 
LDRB R2, [R7,R2] 


DCB 0x17 
DCB ӨхЕр 


STRB R3, [R1,R1] 
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STR R5, [В0,#0х6С] 
LDMIA ВЗ, {R0-R5,R7} 
ASRS R3, R2, #3 


LDR R4, [SP,#0x2C4] 
SVC 0xB5 

LDR R6, [R1,#0x40] 
LDR R5, =0хВ2С5СА32 
STMIA Вб, {R1-R4,R6} 
LDR R1, [R3,#0x3C] 
STR R1, [R5,#0x60] 
BCC OxFFFFFF70 

LDR R4, [SP,#0x1D4] 
STR R5, [R5,#0x40] 


ORRS R5, R7 


Лос ЗС ; DATA XREF: ROM:00000006 
B 0хЕЕЕЕЕЕ98 


Листинг 5.11: случайный шум (MIPS little endian) 


lw $t9, 0xCB3($t5) 
sb $t5, 0x3855($t0) 
sltiu $a2, фаб, -0x657A 
ldr $t4, -0x4D99 ($а2) 
daddi $50, $51, 0х50А4 
lw $57, —0х2353($54) 
bgtzl $а1, 0х17С5С 


.byte 0x17 
‚буте ӨхЕр 
‚буте 0x4B # К 
‚буте 0x54 #Т 


1мс2 $31, 0х66С5 ($5р) 
1ми $51, 0х1003 ($а1) 
ldr $t6, -0x204B($zero) 
1мс1 $130, 0х4рВЕ ($52) 
даддіи $11, $51, 0x6BD9 


1ми $55, —0х2С64($\1) 
соро 0х1306420 

рпе $9р, $14, ОхЕЕЕЕ9ЕЕӨ 
th $ra, 0x1819($s1) 

sdl $fp, -0x6474($t8) 
jal 0х78С0050 

ori $у0, $52, 0xC634 
blez фор, ӨхЕЕЕЕА9р4 

swl $t8, -0x2CD4($s2) 


sltiu $al, $k0, 0x685 
sdc1 $f15, 0x5964($at) 


Sw $50, -0x19A6($a1) 
sltiu $t6, $a3, -0x66AD 
16 $47, -0х4Е6 ($13) 
54 $fp, 0х4В02 ($а1) 
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Также важно помнить, что хитрым образом написанный код для распаковки и 
дешифровки (включая самомодифицирующийся), также может выглядеть как 
случайный шум, тем не менее, он исполняется корректно. 


5.11.2. Корректно дизассемблированный код 


Каждая ISA имеет десяток самых используемых инструкций, остальные исполь- 
зуются куда реже. 


Интересно знать тот факт, что в X86, инструкции вызовов ф-ций (РОЅН/САШ/Арр) 
и MOV это наиболее часто исполняющиеся инструкции в коде почти во всем ПО 
что мы используем. Другими словами, СРО очень занят передачей информа- 
ции между уровнями абстракции, или, можно сказать, очень занят переклю- 
чением между этими уровнями. Вне зависимости от 15А. Это цена расслоения 
программ на разные уровни абстракций (чтобы человеку было легче с ними 
управляться). 


5.12. Прочее 


5.12.1. Общая идея 


Нужно стараться как можно чаще ставить себя на место программиста и зада- 
вать себе вопрос, как бы вы сделали ту или иную вещь в этом случае и в этой 
программе. 


5.12.2. Порядок функций в бинарном коде 


Все функции расположенные в одном .с или .срр файле компилируются в соот- 
ветствующий объектный (.о) файл. Линкер впоследствии складывает все нуж- 
ные объектные файлы вместе, не меняя порядок ф-ций в них. Как следствие, 
если вы видите в коде две или более идущих подряд ф-ций, то это означает, 
что и в исходном коде они были расположены в одном и том же файле (если 
только вы не на границе двух объектных файлов, конечно). Это может озна- 
чать, что эти ф-ции имеют что-то общее между собой, что они из одного слоя 
АРІ, из одной библиотеки, ит. д. 


Это реальная история из практики: однажды автор искал в прикомпилиро- 
ванной библиотеке СгуріоРР ф-ции связанные с алгоритмом Twofish, особенно 
шифрования/дешифрования. 

Я нашел ф-цию Twofish: :Ваѕе: :ШпсһескейбеїКеу(), но не остальные. Загля- 
нув в исходники Ёмо?іѕћ. срр 29, стало ясно, что все ф-ции расположены в од- 
ном модуле (twofish. cpp). Так что я просто попробовал посмотреть ф-ции cne- 
дующие за 

Twofish: : Ваѕе: :УпспескКед5е{Кеу () — так и оказалось, 

одна из них была Twofish: : Епс: : Ргосеѕ5АпахХогВ\1оск(), 

другая — Twofish: : рес: : Ргосеѕ5АпаХогВ1оск(). 


29https://github.com/weidaill/cryptopp/blob/b613522794a7633aa2bd81932a98a0b0a51bc04f/ 
twofish.cpp 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


939 


5.12.3. Крохотные функции 


Крохотные ф-ции, такие как пустые ф-ции (1.3 (стр. 8)) или ф-ции возвраща- 
ющие только “гие” (1) или “false” (0) (1.4 (стр. 10)) очень часто встречаются, 
и почти все современные компиляторы, как правило, помещают только одну 
такую ф-цию в исполняемый код, даже если в исходном их было много одина- 
ковых. Так что если вы видите ф-цию состоящую только из mov eax, 1 / геї, 
которая может вызываться из разных мест, которые, судя по всему, друг с дру- 
гом никак не связаны, это может быть результат подобной оптимизации. 


5.12.4. Си++ 


RTTI (3.19.1 (стр. 710))-информация также может быть полезна для идентифи- 
кации классов в Си++. 


5.12.5. Намеренный сбой 


Часто, нужно знать, какая ф-ция была исполнена, а какая — нет. Вы можете 
использовать отладчик, но на экзотических архитектурах его может и не быть, 
так что простейший способ это вписать туда неверный опкод или что-то вро- 
де ІМТЗ (0хСС). Сбой будет сигнализировать о том, что эта инструкция была 
исполнена. 


Еще один пример намеренного сбоя: 3.21.4 (стр. 777). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Глава 6 


Специфичное для ОС 


6.1. Способы передачи аргументов при вызове функ- 
ций 


6.1.1. cdecl 


Этот способ передачи аргументов через стек чаще всего используется в язы- 
ках Си/Си++. 


Вызывающая функция заталкивает в стек аргументы в обратном порядке: сна- 
чала последний аргумент в стек, затем предпоследний, и всамом конце — пер- 
вый аргумент. Вызывающая функция должна также затем вернуть указатель 
стека в нормальное состояние, после возврата вызываемой функции. 


Листинг 6.1: cdecl 


push arg3 

push arg2 

push аго1 

call function 

add esp, 12 ; возвращает ESP 


6.1.2. stdcall 


Это почти то же что и cdecl, за исключением того, что вызываемая функция ca- 
ма возвращает ЕЅР в нормальное состояние, выполнив инструкцию ВЕТ х вме- 
сто ВЕТ, 

где х = количество аргументов * sizeof(int)!. Вызывающая функция не 6y- 
дет корректировать указатель стека, там нет инструкции айа еѕр, х. 


Листинг 6.2: $ сай 


push arg3 


1размер переменной типа int— 4 в х86-системах и 8 в хб4-системах 
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push агд2 
push аго1 
call function 


function: 
;... Сделать что-то... 
геї 12 


Этот способ используется почти везде в системных библиотеках win32, но не 
в міпб4 (о win64 смотрите ниже). 


Например, мы можем взять функцию из 1.90 (стр. 130) и изменить её немного 
добавив модификатор _ stdcall: 


int _ 5%Ааса\ #2 (int а, int Ы, int с) 
{ 


}; 


return ажб+с; 


Он будет скомпилирован почти так же каки 1.91 (стр. 130), но вы увидите КЕТ 
12 вместо ВЕТ. SP не будет корректироваться в вызывающей функции. 


Как следствие, количество аргументов функции легко узнать из инструкции 
RETN п просто разделите п на 4. 


Листинг 6.3: MSVC 2010 


_а$ = 8 ; size = 4 
_b$ = 12 ; 5176 = 4 
_с$ = 16 ; 51те = 4 
_f2@12 PROC 
push ebp 
mov ebp, esp 
mov eax, DWORD PTR _a$[ebp] 
imul eax, DWORD PTR _b$[ebp] 
add eax, DWORD PTR _cļ$[ebp] 
pop ebp 
ret 12 
_12@12 ENDP 
push 3 
push 2 
push 1 
call _f2@12 
push eax 
push OFFSET $5681369 
call _printf 
add esp, 8 


Функции с переменным количеством аргументов 


Функции вроде ргіпї?#(), должно быть, единственный случай функций в Си/- 
Си++с переменным количеством аргументов, но с их помощью можно легко 
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проследить очень важную разницу между cdecl и $аса!. Начнем с того, что 
компилятор знает сколько аргументов было у ргіпі+ (). 


Однако, вызываемая функция ргіпї+ (), которая уже давно скомпилирована и 
находится в системной библиотеке MSVCRT.DLL (если говорить о Windows), не 
знает сколько аргументов ей передали, хотя может установить их количество 
по строке формата. 


Таким образом, если бы printf() была 5аса!-функцией и возвращала указа- 
тель стека в первоначальное состояние подсчитав количество аргументов в 
строке формата, это была бы потенциально опасная ситуация, когда одна опе- 
чатка программиста могла бы вызывать неожиданные падения программы. Та- 
ким образом, для таких функций stdcall явно не подходит, а подходит cdecl. 


6.1.3. fastcall 


Это общее название для передачи некоторых аргументов через регистры, а 
всех остальных — через стек. На более старых процессорах, это работало по- 
тенциально быстрее чем cdecl/stdcall (ведь стек в памяти использовался мень- 
ше). Впрочем, на современных (намного более сложных) CPU, существенного 
выигрыша может и не быть. 


Это не стандартизированный способ, поэтому разные компиляторы делают это 
по-своему. Разумеется, если у вас есть, скажем, две DLL, одна использует Apy- 
гую, и обе они собраны с fastcall но разными компиляторами, очень вероятно, 
будут проблемы. 


MSVC и ССС передает первый и второй аргумент через ECX и EDX а остальные 
аргументы через стек. 


Указатель стека должен быть возвращен в первоначальное состояние вызыва- 
емой функцией, как в случае stdcall. 


Листинг 6.4: fastcall 


push arg3 

mov edx, arg2 
mov ecx, агд1 
call function 


function: 
; .. делать что-то 
гет 4 


Например, мы можем взять функцию из 1.90 (стр. 130) и изменить её немного 
добавив модификатор _ fastcall: 


int _ fastcall f3 (int а, int b, int с) 
{ 


}; 


return ажб+с; 


Вот как он будет скомпилирован: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Листинг 6.5: Оптимизирующий МУС 2010 /Ob0 


_©$ = 8 ; 51те = 4 
@#3@12 PROC 
; a$ = ecx 
; b$ = edx 
mov eax, ecx 
imul eax, edx 
add eax, DWORD PTR _cļ$[esp-4] 
ret 4 


@f3@12 ENDP 


mov edx, 2 

push 3 

lea ecx, DWORD PTR [edx-1] 
call @f3@12 

push eax 

push OFFSET $5681390 

call _printf 

add esp, 8 


Видно, что вызываемая функция сама возвращает SP при помощи инструкции 
ВЕТМ с операндом. Так что и здесь можно легко вычислять количество аргумен- 
тов. 


ССС гедрагт 


Это в некотором роде, развитие fastcall?. Опцией -тгедрагт=х можно указы- 
вать, сколько аргументов компилятор будет передавать через регистры. Мак- 
симально 3. В этом случае будут задействованы регистры ЕАХ, ЕБХ и ЕСХ. 


Разумеется, если аргументов у функции меньше трех, то будет задействована 
только часть регистров. 


Вызывающая функция возвращает указатель стека в первоначальное состоя- 
ние. 


Для примера, см. (1.28.1 (стр. 392)). 


М/асот/Ореп\М/а сот 


Здесь это называется «register calling convention». Первые 4 аргумента переда- 
ются через регистры EAX, EDX, EBX апа ECX. Все остальные — через стек. Эти 
функции имеют символ подчеркивания, добавленный к концу имени функции, 
для отличия их от тех, которые имеют другой способ передачи аргументов. 


6.1.4. thiscall 


В Си++, это передача в функцию-метод указателя this на объект. 


2http://www.ohse.de/uwe/articles/gcc-attributes.html#func-regparm 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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В М5\/С указатель this обычно передается в регистре ECX. 


В ССС указатель this обычно передается как самый первый аргумент. Таким 
образом, в коде на ассемблере будет видно: у всех функций-методов на один 
аргумент больше, чем в исходном коде. 


Для примера, см. (3.19.1 (стр. 690)). 


6.1.5. х86-64 
Windows x64 


B win64 метод передачи всех параметров немного похож на fastcall. Первые 
4 аргумента записываются в регистры RCX, RDX, R8, R9, а остальные — в стек. 
Вызывающая функция также должна подготовить место из 32 байт или для че- 
тырех 64-битных значений, чтобы вызываемая функция могла сохранить там 
первые 4 аргумента. Короткие функции могут использовать переменные пря- 
мо из регистров, но большие могут сохранять их значения на будущее. 


Вызывающая функция должна вернуть указатель стека в первоначальное со- 
стояние. 


Это же соглашение используется и в системных библиотеках Windows х86-64 
(вместо stdcall в міп32). 


Пример: 


#include <stdio.h> 


void 11(1п a, int b, int c, int d, int e, int f, int g) 


{ 
printf ("%d %d %d %d %d %d %d\n", a, b, c, d, e, f, 9); 
$}; 
int main() 
{ 
f1(1,2,3,4,5,6,7); 
}; 

Листинг 6.6: MSVC 2012 /06 
$562937 DB '%d %d %4 %4 а %d %4', Фан, 00H 
main PROC 

sub rsp, 72 

mov DWORD PTR [rsp+48], 7 
mov DWORD PTR [rsp+40], 6 
mov DWORD PTR [rsp+32], 5 
mov r9d, 4 

mov r8d, 3 

mov edx, 2 

mov ecx, 1 

call f1 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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хог еах, еах 
ааа rsp, 72 
геї 0 

main ENDP 

a$ = 80 

b$ = 88 

c$ = 96 

d$ = 104 

e$ = 112 

f$ = 120 

g$ = 128 

f1 PROC 

$LN3 
mov DWORD PTR [rsp+32], r9d 
mov DWORD PTR [rsp+24], r8d 
mov DWORD PTR [rsp+16], edx 
mov DWORD PTR [rsp+8], ecx 
sub rsp, 72 
mov eax, DWORD PTR g$[rsp] 
mov DWORD PTR [rsp+56], eax 
mov eax, DWORD PTR 1$[г5р] 
mov DWORD PTR [rsp+48], eax 
mov eax, DWORD PTR e$[rsp] 
mov DWORD PTR [rsp+40], eax 
mov eax, DWORD PTR d$[rsp] 
mov DWORD PTR [rsp+32], eax 
mov r9d, DWORD PTR с$[г5р] 
mov r8d, DWORD PTR b$[rsp] 
mov edx, DWORD PTR a$[rsp] 
lea rcx, OFFSET ЕІАТ: 562937 
call printf 
add rsp, 72 
ret 0 

f1 ENDP 


Здесь мы легко видим, как 7 аргументов передаются: 4 через регистры и осталь- 
ные З через стек. Код пролога функции #1() сохраняет аргументы в «5сгаїсһ 

расе» — место в стеке предназначенное именно для этого. Это делается NOTO- 
му что компилятор может быть не уверен, достаточно ли ему будет остальных 

регистров для работы исключая эти 4, которые иначе будут заняты аргумен- 
тами до конца исполнения функции. Выделение «5сгаїсһ ѕрасе» в стеке лежит 

на ответственности вызывающей функции. 


Листинг 6.7: Оптимизирующий MSVC 2012 /06 


$562777 DB '%4 %4 %4 %а %4 %а %4', бан, ӨӨН 
а$ = 80 
0$ = 88 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Ф 

4 
нии 
на на ҥнҥн © 
мно б 
со ою Ф 


Т1 PROC 


sub 


mov 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
lea 
call 


add 
ret 
f1 ENDP 


main PROC 
sub 


mov 
mov 
mov 
lea 
lea 
lea 
mov 
call 


xor 
add 
ret 

main ENDP 


rsp, 72 


eax, DWORD PTR g$[rsp] 
DWORD PTR [rsp+56], eax 
eax, DWORD PTR f$[rsp] 
DWORD PTR [rsp+48], eax 
eax, DWORD PTR e$[rsp] 
DWORD PTR [rsp+40], eax 
DWORD PTR [rsp+32], r9d 


r9d, r8d 

r8d, edx 

edx, ecx 

rcx, OFFSET FLAT:$SG2777 
printf 

rsp, 72 

0 

rsp, 72 

еах, 2 


DWORD РТА [г5р+48], 7 
DWORD РТА [г5р+40], 6 
г9а, QWORD РТВ [гах+2] 
г8а, QWORD РТВ [гах+1] 
ecx, ОМОВО РТВ [гах-1] 
DWORD РТА [г5р+32], 5 


11 

еах, еах 
rsp, 72 
0 


Если компилировать этот пример с оптимизацией, то выйдет почти то же са- 
мое, только «scratch space» не используется, потому что незачем. 


Обратите также внимание на то как MSVC 2012 оптимизирует примитивную 
загрузку значений в регистры используя LEA (.1.6 (стр. 1288)). MOV здесь был 
бы на 1 байт длиннее (5 вместо 4). 


Еще один пример подобного: 8.2.1 (стр. 1024). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Windows x64: Передача this (Си/Си++) 


Указатель this передается через RCX, первый аргумент метода через RDX, и т. 
д. Для примера, см. также: 3.19.1 (стр. 692). 


Linux x64 


Метод передачи аргументов B Linux для х86-64 почти такой же, как и в Windows, 
но 6 регистров используется вместо 4 (ВОТ, RSI, RDX, RCX, R8, В), и здесь нет 
«scratch space», но саЙее может сохранять значения регистров в стеке, если 
ему это нужно. 


Листинг 6.8: Оптимизирующий ССС 4.7.3 


.LCO: 
„String "%d %d %d %d %d %d %d\n" 
f1: 
sub rsp, 40 
mov eax, DWORD PTR [rsp+48] 
mov DWORD PTR [rsp+8], r9d 
mov r9d, ecx 
mov DWORD PTR [rsp], r8d 
mov ecx, esi 
mov r8d, edx 
mov esi, OFFSET FLAT: .LCO 
mov edx, edi 
mov edi, 1 
mov DWORD PTR [rsp+16], eax 
xor eax, eax 
call _printf_chk 
add rsp, 40 
ret 
main: 
sub rsp, 24 
mov r9d, 6 
mov r8d, 5 
mov DWORD PTR [rsp], 7 
mov ecx, 4 
mov edx, 3 
mov esi, 2 
mov edi, 1 
call f1 
add rsp, 24 
ret 


N.B.: здесь значения записываются в 32-битные части регистров (например 
EAX) а не в весь 64-битный регистр (ВАХ). Это связано с тем что в х8 6-64, 3a- 
пись в младшую 32-битную часть 64-битного регистра автоматически обнуля- 
ет старшие 32 бита. Должно быть, это так решили в AMD для упрощения nop- 
тирования кода под х86-64. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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6.1.6. Возвращение переменных типа float, double 


Во всех соглашениях кроме Win64, переменная типа float или double возвраща- 
ется через регистр ЕРО 5Т(0). 


В Win64 переменные типа float и double возвращаются в младших 16-и или 32-х 
битах регистра ХММӨ. 


6.1.7. Модификация аргументов 


Иногда программисты на Си/Си++ (и не только этих ЯП) задаются вопросом, 
что может случиться, если модифицировать аргументы? 


Ответ прост: аргументы хранятся в стеке, именно там и будет происходить 
модификация. 


А вызывающие функции не используют их после вызова функции (автор нико- 
гда не видел в своей практике обратного случая). 


#include <stdio.h> 


void f(int a, int b) 


{ 

a=a+b; 

printf ("%d\n", a); 
$}; 

Листинг 6.9: MSVC 2012 

_а$ = 8 ; 51те = 4 
_b$ = 12 ; 51те = 4 
f PROC 

push ebp 

mov ebp, esp 

mov eax, DWORD PTR _a$[ebp] 

add eax, DWORD PTR _b$[ebp] 

mov DWORD PTR _a$[ebp], eax 

mov ecx, DWORD PTR _a$[ebp] 

push ecx 

push OFFSET $562938 ; '%d', бан 

call _printf 

add esp, 8 

pop ebp 

ret 0 

f ENDP 


Следовательно, модифицировать аргументы функции можно запросто. Разу- 
меется, если это не references в Си++ (3.19.3 (стр. 712)), и если вы не модифи- 
цируете данные по указателю, то эффект не будет распространяться за пре- 
делами текущей функции. 


Теоретически, после возврата из саїее, функция-саЙег могла бы получить MO- 
дифицированный аргумент и использовать его как-то. Может быть, если бы 
она была написана на языке ассемблера. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Например, такой код генерирует обычный компилятор Си/Си++: 


push 456 ; будет b 

push 123 ; будет а 

call f ; f() модифицирует свой первый аргумент 
ааа еѕр, 2*4 


Мы можем переписать так: 


push 456 ; будет b 

push 123 ; будет а 

са11 f ; f() модифицирует свой первый аргумент 
рор еах 

ааа еѕр, 4 


; ЕАХ=1-й аргумент #() модифицированный в Т() 


Трудно представить, кому может это понадобиться, но на практике это воз- 
можно. Так или иначе, стандарты языков Си/Си+ +не предлагают никакого спо- 
соба это сделать. 


6.1.8. Указатель на аргумент функции 


...И даже более того, можно взять указатель на аргумент функции и передать 
его в другую функцию: 


#include <stdio.h> 


// Located in some other file 
void modify а (int жа); 


void f (int a) 
{ 
modify а (ба); 
printf ("%а\п", а); 
}; 


Трудно понять, как это работает, пока мы не посмотрим на код: 


Листинг 6.10: Оптимизирующий MSVC 2010 


$562796 ОВ '%4', бан, 00Н 
_а$ = 8 
af PROC 
lea eax, DWORD PTR _a$[esp-4] ; just get the address of value in 
local stack | | 
ush eax ; and pass it to modify а() 
call _modify_a 
mov ecx, DWORD PTR _a$[esp] ; reload it from the local stack 
push ecx ; and pass it to printf() 
push OFFSET $562796 ; '%@' 
call _printf 
add esp, 12 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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ret 0 
f ENDP 


Адрес места в стеке где была передана а просто передается в другую функцию. 
Она модифицирует переменную по этому адресу, и затем printf() выведет 
модифицированное значение. 


Наблюдательный читатель может спросить, а что насчет тех соглашений о 
вызовах, где аргументы функции передаются в регистрах? 


Это та самая ситуация, где используется Shadow Space. 


Так что входящее значение копируется из регистра в Shadow Space в локаль- 
ном стеке и затем это адрес передается в другую функцию: 


Листинг 6.11: Оптимизирующий MSVC 2012 x64 


$562994 DB '%4', бан, 00Н 
а$ = 48 
f PROC 
mov DWORD PTR [rsp+8], ecx ; save input value in Shadow Space 
sub rsp, 40 
lea rcx, QWORD PTR a$[rsp] ; get address of value and pass it 
to modify а() 
call modify а 
mov edx, DWORD PTR a$[rsp] ; reload value from Shadow Space and 
pass it to printf() 
lea rcx, OFFSET FLAT:$SG2994 ; '%d' 
call printf 
add rsp, 40 
ret 0 
f ENDP 


ССС также записывает входное значение в локальный стек: 


Листинг 6.12: Оптимизирующий ССС 4.9.1 х64 


. ЕСО: 
„string "%а\п" 
f: 
sub rsp, 24 
mov DWORD PTR [rsp+12], edi ; store input value to the local 
а гаі, [г5р+12] ; take ап address of the value апа 


pass it to modify а() 
call modify а 


mov edx, DWORD PTR [rsp+12] ; reload value from the local stack 
and pass it to printf() 

mov esi, OFFSET FLAT: .LCO ; '%@' 

тоу edi, 1 

хог еах, еах 

call _printf_chk 

add rsp, 24 

ret 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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ССС для АКМ64 делает то же самое, но это пространство здесь называется 
Register Save Area: 


Листинг 6.13: Оптимизирующий GCC 4.9.1 ARM64 


f: 
stp x29, x30, [5р, -32]! 
add x29, sp, 0 ; setup FP 
add х1, x29, 32 ; calculate address of variable in 
Register Save Area 
str w0, [х1,-4]! ; store input value there 
mov x0, x1 ; pass address of variable to the 
modify а() 
bl modify а 
ldr м1, [x29,28] ; load value from the variable and pass it 
to printf() 
adrp x0, .LCO ; '%а' 
add х0, x0, :1012:.1С0 
bl printf ; call printf() 
ldp x29, x30, [sp], 32 
ret 
.LCO: 
„String "%d\n" 


Кстати, похожее использование Shadow Space разбирается здесь: 3.15.1 (стр. 660). 


6.2. Thread Local Storage 


Это область данных, отдельная для каждого треда. Каждый тред может хра- 
нить там то, что ему нужно. Один из известных примеров, это стандартная 
глобальная переменная в Си errno. Несколько тредов одновременно могут Bbl- 
зывать функции возвращающие код ошибки в errno, поэтому глобальная ne- 
ременная здесь не будет работать корректно, для мультитредовых программ 
errno нужно хранить в TLS. 


В С++11 ввели модификатор ЁїЛгеаа [/оса!, показывающий, что каждый тред 
будет иметь свою версию этой переменной, и её можно инициализировать, и 
она расположена в TLS 2: 


Листинг 6.14: С+ +11 


#include <iostream> 
#include <thread> 


thread_local int tmp=3; 


int main() 


{ 
}; 


std::cout << tmp << std::endl; 


3 B C11 также есть поддержка тредов, хотя и опциональная 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Компилируется в MinGW ССС 4.8.1, но не в MSVC 2012. 


Если говорить о РЕ-файлах, то в исполняемом файле значение їтр будет раз- 
мещено именно в секции отведенной TLS. 


6.2.1. Вернемся к линейному конгруэнтному генератору 


Рассмотренный ранее 1.29 (стр. 432) генератор псевдослучайных чисел имеет 
недостаток: он не пригоден для многопоточной среды, потому что переменная 
его внутреннего состояния может быть прочитана и/или модифицирована в 
разных потоках одновременно. 


Win32 


Неинициализированные данные B TLS 


Одно из решений — это добавить модификатор declspec( thread ) к rno- 
бальной переменной, и теперь она будет выделена в TLS (строка 9): 


#include <stdint.h> 
#include <windows .h> 
#include <winnt.h> 


// from the Numerical Recipes book: 
#define RNG а 1664525 

#define RNG с 1013904223 

_ declspec( thread ) uint32_t rand_state; 


void my_srand (uint32_t init) 


{ 
rand_state=init; 
} 
int my_rand () 
{ 
rand_state=rand_state*RNG а; 
rand_state=rand_state+RNG с; 
return rand_state & 0x7fff; 
} 
int main() 
{ 
пу ѕгапа(0х12345678); 
printf ("%0\п", ту ғапа()); 
}; 


Ніем показывает что в исполняемом файле теперь есть новая РЕ-секция: . 115. 


Листинг 6.15: Оптимизирующий MSVC 2013 x86 


_TLS SEGMENT 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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_rand_state DD 01Н DUP (?) 


TLS ENDS 

DATA SEGMENT 

$5684851 DB "а", бан, ӨӨН 
DATA ENDS 


_TEXT SEGMENT 


_init$ = 8 ; size=4 
_my_srand PROC 
; FS:0=address of ТІВ 


mov eax, DWORD РТВ fs:__tls_array ; displayed in IDA as FS:2Ch 
; EAX=address of TLS of process 

mov ecx, DWORD PTR _ tls_index 

mov ecx, DWORD PTR [еах+есхж4] 
; ECX=current TLS segment 

mov eax, DWORD PTR _init$[esp-4] 

mov DWORD PTR _rand_state[ecx], eax 

ret 0 


_му згапа ЕМОР 


_ту гапа PROC 
; Е5:0=аййгеѕ5 of ТІВ 


mov eax, DWORD РТВ fs:__tls_array ; displayed in IDA as FS:2Ch 
; EAX=address of TLS of process 

mov ecx, DWORD РТВ _ +15 іпдех 

mov ecx, DWORD PTR [еах+есхж4] 


; ECX=current TLS segment 
imul eax, DWORD PTR _rand_state[ecx], 1664525 


add eax, 1013904223 ; 3c6ef35fH 
mov DWORD PTR _rand_state[ecx], eax 

and eax, 32767 ; 00007fffH 
ret 0 


_my_rand ЕМОР 


_ТЕХТ ENDS 


гапа ѕ?аїе теперь в ТЕ5$-сегменте и у каждого потока есть своя версия этой 
переменной. 


Вот как к ней обращаться: загрузить адрес ТІВ из FS:2Ch, затем прибавить до- 
полнительный индекс (если нужно), затем вычислить адрес Ті5-сегмента. 


Затем можно обращаться к переменной гапа_<їаїтТе через регистр ECX, KOTO- 
рый указывает на свою область в каждом потоке. 


Селектор FS: знаком любому reverse епдтеег-у, он всегда указывает на ТІВ, 
чтобы всегда можно было загружать данные специфичные для текущего по- 
тока. 


В Win64 используется селектор GS: и адрес TLS теперь 0x58: 


Листинг 6.16: Оптимизирующий MSVC 2013 x64 


_ ТЕ$ SEGMENT 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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гапа ѕ%а%е DD Ө1Н DUP (?) 


TLS ENDS 
DATA SEGMENT 

$5685451 DB "а", бан, ӨӨН 
РАТА ENDS 


_ТЕХТ SEGMENT 


1114$ = 8 

ту ѕгапа PROC 
mov edx, DWORD PTR _tls_index 
mov rax, QWORD PTR gs:88 ; 58h 
mov r8d, OFFSET FLAT: rand_state 
mov rax, QWORD PTR [rax+rdx*8] 
mov DWORD PTR [r8+rax], ecx 
ret 0 


ту гапа ЕМОР 


ту гапа PROC 


mov rax, QWORD PTR gs:88 ; 58h 

mov ecx, DWORD РТВ _tls_index 

mov edx, OFFSET FLAT:rand_state 

mov rcx, QWORD PTR [rax+rcx*8] 

imul eax, DWORD PTR [rcx+rdx], 1664525 ; 0019660ан 
add eax, 1013904223 ; 3c6ef35fH 

mov DWORD PTR [rcx+rdx], eax 

and eax, 32767 ; 00007fffH 

ret 0 


ту_гапа ЕМОР 


_ТЕХТ ENDS 


Инициализированные данные в TLS 


Скажем, мы хотим, чтобы в переменной гапа ѕ?аїе в самом начале было какое- 
то значение, и если программист забудет инициализировать генератор, то 
гапа ѕ?аїе все же будет инициализирована какой-то константой (строка 9) 


#include <stdint.h> 
#include <windows .h> 
#include <winnt.h> 


// from the Numerical Recipes book: 
#define RNG а 1664525 
#define RNG с 1013904223 


_ declspec( thread ) uint32_t rand_state=1234; 
void my_srand (uint32_t init) 


{ 


rand_state=init; 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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} 
int ту гапа () 
{ 
гапа ѕТате=гапа ѕ?ТатежА№б а; 
гапа ѕёа+е= гапа ѕ+ате+А№с с; 
return гапа ѕате & 0x7fff; 
} 
int маіп() 
{ 
printf ("%0\п", ту ғапа()); 
}; 


Код ничем не отличается от того, что мы уже видели, но вот что мы видим в 


IDA: 


.115:00404000 ; Segment type: Pure data 
.115:00404000 ; Segment permissions: Read/Write 


.tls:00404000 tls segment para public 'DATA' use32 

.115:00404000 assume cs: tls 

.115:00404000 ‚ого 404000һ 

.115:00404000 Т155+агі db 0 ; 
.rdata:TlsDirectory 

.115:00404001 db 0 

.115:00404002 db 0 

.115:00404003 db 0 

.115:00404004 аа 1234 

.115:00404008 Т15Епа db 0 ; 


.rdata:TlsEnd ріг 


Там 1234 и теперь, во время запуска каждого нового потока, новый TLS будет 
выделен для нового потока, и все эти данные, включая 1234, будут туда ско- 


пированы. 


Вот типичный сценарий: 


• Запустился поток А. TLS создался для него, 1234 скопировалось в rand_state. 


• Функция ту_гапа() была вызвана несколько раз в потоке А. 
гапа ѕ+а+е теперь содержит что-то неравное 1234. 


• Запустился поток Б. TLS создался для него, 1234 скопировалось в rand_state, 


а в это же время, поток А имеет какое-то другое значение в этой перемен- 


нои. 


ТЕ$-коллбэки 


Но что если переменные в TLS должны быть установлены в значения, которые 


должны быть подготовлены каким-то необычным образом? 


Скажем, у нас есть следующая задача: программист может забыть вызвать 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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функцию ту ѕгапа() для инициализации ГПСЧ, но генератор должен быть NHM- 
циализирован на старте чем-то по-настоящему случайным а не 1234. 


Вот случай где можно применить ТЕ5$-коллбэки. 


Нижеследующий код не очень портабельный из-за хака, но тем не менее, вы 
поймете идею. 


Мы здесь добавляем функцию (+15 са11баск()), которая вызывается перед 
стартом процесса и/или потока. 


Функция будет инициализировать ГПСЧ значением возвращенным функцией 
GetTickCount(). 


#include <stdint.h> 
#include <windows .h> 
#include <winnt.h> 


// from the Numerical Recipes book: 
#define RNG а 1664525 

#define RNG с 1013904223 

_ declspec( thread ) uint32_t rand_state; 


void my_srand (uint32_ t init) 


{ 
rand_state=init; 
} 
void NTAPI tls_callback(PVOID a, DWORD dwReason, PVOID b) 
{ 
my_srand (GetTickCount()); 
} 


#pragma data_seg(".CRT$XLB") 
PIMAGE TLS_ CALLBACK p_thread_callback = tls_callback; 
#pragma data ѕед() 


int my_rand () 


{ 
rand_state=rand_state*RNG а; 
rand_state=rand_state+RNG C; 
return rand_state & 0x7fff; 
} 
int main() 
{ 
// rand_state is already initialized at the moment (using 
GetTickCount()) 
printf ("%d\n", my_rand()); 
}; 


Посмотрим в IDA: 


Листинг 6.17: Оптимизирующий MSVC 2013 
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.1ехї:00401020 TlsCallback © ргос near ; DATA XREF: 
.rdata:TlsCallbacks 

.text:00401020 call ds :GetTickCount 

. text :00401026 push eax 

. text: 00401027 call my_srand 

.text:0040102C pop ecx 

.text:0040102D retn OCh 


.text:0040102D TlsCallback © епар 


. rdata:004020C0 TlsCallbacks dd offset TlsCallback Ө ; DATA XREF: 


.rdata:TlsCallbacks ptr 


. rdata :00402118 TlsDirectory dd offset TlsStart 

. rdata:0040211C TlsEnd_ptr dd offset TlsEnd 

. rdata:00402120 TlsIndex ptr dd offset TlsIndex 
.гаата:00402124 TlsCallbacks_ptr dd offset TlsCallbacks 
.гаата:00402128 TlsSize0fZeroFill dd 9 

.гаата:0040212С TlsCharacteristics dd 300000h 


ТІЅ-коллбэки иногда используются в процедурах распаковки для запутывания 
их работы. 


Некоторые люди могут быть в неведении что какой-то код уже был исполнен 
прямо перед ОЕР“. 


Linux 


Вот как глобальная переменная локальная для потока определяется в ССС: 


thread uint32_t гапа $%афе=1234; 


Этот модификатор не стандартный для Си/Си++, он присутствует только в 
GCC 


9 


Селектор GS: также используется для доступа к TLS, но немного иначе: 


Листинг 6.18: Оптимизирующий ССС 4.8.1 х86 


.Хехї:08048460 ту ѕгапа ргос пеаг 

. text : 08048460 

.text:08048460 аго_0 = dword ptr 4 

. text : 08048460 

. text : 08048460 mov eax, [esp+arg_0] 

. text : 08048464 mov 05:0ЕЕЕЕЕЕЕСһ, eax 
. text: 0804846А retn 

.text:0804846A my_srand endp 


4Original Entry Point 
5https://gcc.gnu.org/onlinedocs/gcc-3.3/gcc/C99-Thread-Local-Edits.html 
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.1ехї:08048470 ту гапа ргос пеаг 

. text : 08048470 imul eax, gs:OFFFFFFFCh, 19660Dh 
. text : 03804847B add eax, 3C6EF35Fh 

. text : 08048480 mov 05:0ЕЕЕЕЕЕЕСһ, eax 

. text : 08048486 and eax, 7FFFh 

. text : 0804848B retn 

.1ехї:0804848В ту гапа епар 


Еще об этом: [Ulrich Огеррег, ELF Handling For Тһгеаа-Госа! Storage, (2013)]°. 


6.3. Системные вызовы (5узса|-ы) 


Как известно, все работающие процессы в ОС делятся на две категории: име- 
ющие полный доступ ко всему «железу» («kernel space») и не имеющие («user 
space»). 


В первой категории ядро OC и, обычно, драйвера. 
Во второй категории всё прикладное ПО. 
Например, ядро Linux в kernel space, но Glibc в user space. 


Это разделение очень важно для безопасности ОС: очень важно чтобы никакой 
процесс не мог испортить что-то в других процессах или даже в самом ядре 
ОС. С другой стороны, падающий драйвер или ошибка внутри ядра ОС обычно 
приводит к kernel рапс или BSOD”. 


Защита х86-процессора устроена так что возможно разделить всё на 4 слоя 
защиты (rings), но и в Linux, и в Windows, используются только 2: гіпд0 («kernel 
space») и ring3 («user space»). 


Системные вызовы (syscall-bi) это точка где соединяются вместе оба эти npo- 
странства. Это, можно сказать, самое главное АР! предоставляемое приклад- 
ному ПО. 


В Windows МТ таблица сисколлов находится в $$50Т8. 


Работа через зузса!-ы популярна у авторов шелл-кодов и вирусов, потому что 
там обычно бывает трудно определить адреса нужных функций в системных 
библиотеках, а syscall-amn проще пользоваться, хотя и придется писать боль- 
ше кода из-за более низкого уровня абстракции этого АРІ. Также нельзя еще 
забывать, что номера зузса!-ов могут отличаться от версии к версии OS. 


6.3.1. Linux 


В Linux вызов 5у5са!-а обычно происходит через int 0x80. В регистре EAX ne- 
редается номер вызова, в остальных регистрах — параметры. 


6Также доступно здесь: http://www.akkadia.org/drepper/tls.pdf 
7Blue Screen of Death 
8System Service Dispatch Table 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Листинг 6.19: Простой пример использования пары syscall-oB 


section .text 
global _start 


_start: 
mov edx,len ; buffer len 
mov ecx,msg ; buffer 
mov ebx,1 ; file descriptor. 1 is for stdout 
mov eax,4 ; syscall number. 4 is for sys_write 
int 0x80 
mov eax,1 ; syscall number. 1 is for sys_exit 
int 0x80 


section .data 


msg db 'Hello, мог1а! ',Өха 
len equ $ - msg 


Компиляция: 


nasm -f е1#32 1.5 
1а 1.0 


Полный список ѕуѕса!і-ов в Linux: http://syscalls.kernelgrok. сот/. 


Для перехвата и трассировки системных вызовов в Шпих, можно применять 
Ѕігасе(7.3 (стр. 1015)). 


6.3.2. Windows 


Вызов происходит через int 0х2е либо используя специальную х86-инструкцию 
ЅҮЅЕМТЕВ. 


Полный список 5уса!-ов в Windows: һр: //јӨ0ги. мехі1 1 іцт. огд/п+арі/. 
Смотрите также: 


«Windows буса! Shellcode» Бу Piotr Вата: һїїр: //мммм. symantec .com/connect/ 
articles/windows-syscall-shellcode. 


6.4. Linux 


6.4.1. Адресно-независимый код 


Во время анализа динамических библиотек (.ѕо) в Linux, часто можно заметить 
такой шаблонный код: 
Листинг 6.20: 16с-2.17.50 x86 


.Техт:001205ЕЗ х86 деї рс їһипК бх proc near ; CODE XREF: sub 17350+3 
.text:0012D5E3 ; sub 173CC+4 ... 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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.Техт:001205ЕЗ mov ebx, [esp+0] 
.text:0012D5E6 retn 
.text:0012D5E6 _ x86_get_pc_thunk_bx епар 


.text:000576C0 sub_576C0 proc near ; CODE XREF: tmpfile+73 

.text:000576C0 push ebp 

.text:000576C1 mov ecx, large gs:0 

. text :000576C8 push edi 

. text :000576C9 push esi 

.text:000576CA push ebx 

.text:000576CB call x86 деї рс Тһипк Ыбх 

.1ехї:000576р0 ааа ерх, 157930h 

.Техт: 00057606 sub esp, 9Ch 

. text :000579F0 lea eax, (а деп ТХетрпате - 1AF000h) [ebx] ; 
" gen_tempname" 

. text :000579F6 mov [esp+0ACh+var_A0], eax 

.text:000579FA lea eax, (а SysdepsPosix – 1AF000h) [ebx] ; 
",./sysdeps/posix/tempname. с" 

. text :00057A00 mov [esp+0ACh+var_A8], eax 

. text : 00057404 lea eax, (aInvalidKindIn_ - 1AF000h) [ebx] ; 
"| \"invalid KIND in деп Тетрпате\"" 

. text: 00057A0A mov [esp+0ACh+var_A4], 14Ah 

. text :00057A12 mov [esp+0ACh+var_AC], eax 

.text:00057A15 call _ assert_fail 


Все указатели на строки корректируются при помощи некоторой константы из 
регистра ЕВХ, которая вычисляется в начале каждой функции. 


Это так называемый адресно-независимый код (РІС), он предназначен для ис- 
полнения будучи расположенным по любому адресу в памяти, вот почему он 
не содержит никаких абсолютных адресов в памяти. 


РІС был очень важен в ранних компьютерных системах и важен сейчас во встра- 
иваемых?, не имеющих поддержки виртуальной памяти (все процессы распо- 
ложены в одном непрерывном блоке памяти). Он до сих пор используется в 
*МІХ системах для динамических библиотек, потому что динамическая библио- 
тека может использоваться одновременно в нескольких процессах, будучи за- 
гружена в память только один раз. Но все эти процессы могут загрузить одну 
и ту же динамическую библиотеку по разным адресам, вот почему динамиче- 
ская библиотека должна работать корректно, не привязываясь к абсолютным 
адресам. 


Простой эксперимент: 


embedded 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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#include <stdio.h> 


int global_variable=123; 


int fl(int var) 


{ 


int rt=global_variable+var; 
printf ("returning %d\n", rt); 
return rt; 


}; 


Скомпилируем в ССС 4.7.3 и посмотрим итоговый файл .so в IDA: 


gcc -fPIC -shared -03 -o 1.50 1.c 


Листинг 6.21: GCC 4.7.3 


.text: 
.text: 


00000440 
00000440 


CODE XREF: 


.text: 


00000440 


deregister 


.text: 
.text: 
.text: 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
G 
.text: 
.text: 


00000440 
00000443 
00000443 


00000570 
00000570 
00000570 
00000570 
00000570 
00000570 
00000570 
00000570 
00000570 
00000570 
00000570 
00000573 
00000577 
0000057C 
00000582 
00000586 
) [ebx] 

0000058C 
0000058E 


"returning 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 


00000594 
00000598 
0000059C 
00000543 
000005A7 
000005АС 
000005AE 
000005В2 


public 


x86 деї рс Тһипк бх 


х86 деф рс їһипк бх proc near ; 


init proc+4 


tm clones+4 ... 


mov 
retn 


ebx, [esp+0] 


x86 деї рс +һипк bx епар 


f1 


уаг_1С 
var_18 
var_14 
var 8 
маг 4 
arg 0 


%d\n" 


public f1 

proc near 

= dword ptr -1Ch 

= dword ptr -18h 

= dword ptr -14h 

= dword ptr -8 

= dword ptr -4 

= dword ptr 4 

sub esp, 1Ch 

mov [esp+1Ch+var 8], ebx 
call x86_get_pc_thunk_bx 
add ebx, 1А84һ 

mov [esp+1Ch+var_4], esi 
mov eax, ds:(global_variable_ptr - 2000һ 2 
mov esi, [eax] 

lea eax, (aReturningD - 20001) [ебх] ; 
add esi, [esp+1Ch+arg_0] 
mov [esp+1Ch+var_18], eax 
mov [esp+1Ch+var_1C], 1 
mov [esp+1Ch+var_14], esi 
call __ printf_chk 

mov eax, esi 

mov ebx, [esp+1Ch+var 8] 
mov esi, [esp+1Ch+var 4] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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. text : 000005B6 add esp, 1Ch 
. text: 000005B9 retn 
.text:000005B9 f1 endp 


Tak и есть: указатели на строку «returning %а\п» и переменную global_variable 
корректируются при каждом исполнении функции. 


Функция x86 деї рс +һипк 6х() возвращает адрес точки после вызова Ca- 
мой себя (здесь: 0х57С) в ЕВХ. Это очень простой способ получить значение 
указателя на текущую инструкцию (ЕТР) в произвольном месте. 


Константа 0х1А84 связана с разницей между началом этой функции и так на- 
зываемой Global Offset Table Procedure Linkage Table (СОТ PLT), секцией, сразу 
же за Global Offset Table (СОТ), где находится указатель на global_variable. IDA 
показывает смещения уже обработанными, чтобы их было проще понимать, но 
на самом деле код такой: 


.Техт:00000577 call x86 деї рс +һипк бх 
.text:0000057C add ebx, 1А84һ 

. text: 00000582 mov [esp+1Ch+var_4], esi 
. text :00000586 mov eax, [ebx-0Ch] 
.text:0000058C mov esi, [eax] 

. text: 0000058Е lea eax, [ebx-14A30h] 


Так что, EBX указывает на секцию GOT PLT и для вычисления указателя на 
global_variable, которая хранится в GOT, нужно вычесть 0хС. А чтобы вычислить 
указатель на «returning %а\п», нужно вычесть 0х1А30. 


Кстати, вот зачем в АМО64 появилась поддержка адресации относительно В1Р!®, 
просто для упрощения РІС-кода. 


Скомпилируем тот же код на Си при помощи той же версии ССС, но для x64. 


IDA упростит код на выходе убирая упоминания ВІР, так что будем использо- 
вать оБ/аитр вместо нее: 


0000000000000720 <?1>: 


720: 48 8b 05 b9 08 20 00 mov гах, QWORD PTR [rip+0x2008b9] 2 
э; 
200fe0 < DYNAMIC+0x1d0> 

727: 53 push rbx 

728: 89 fb mov ebx,edi 


72a: 48 8d 35 20 00 00 00 lea rsi, [г1р+0х20] | 
751 < fini+0x9> 


731: bf 01 00 00 00 mov edi,0x1 

736: 03 18 add ebx,DWORD PTR [rax] 
738: 31 c0 xor eax,eax 

73a: 89 da mov edx, ebx 

73c: e8 df fe ff ff call 620 < printf_chk@plt> 
741: 89 d8 mov eax,ebx 

743: 5b pop rbx 

744: c3 ret 


10указатель инструкций в AMD64 
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0х200859 это разница между адресом инструкции по 0x720 и д/ора! уагіаЫе, а 
0x20 это разница между инструкцией по 0х72А и строкой «returning %а\п». 


Как видно, необходимость очень часто пересчитывать адреса делает исполне- 
ние немного медленнее (хотя это и стало лучше в X64). Так что если вы забо- 
титесь о скорости исполнения, то, наверное, нужно задуматься о статической 
компоновке (static linking) [см. Agner Род, Optimizing software т С++ (2015)]. 


Windows 


Такой механизм не используется B Windows DLL. Если загрузчику B Windows 
приходится загружать ОШ в другое место, он «патчит» ОШ. прямо в памяти 
(на местах Р/ХУР-ов) чтобы скорректировать все адреса. Это приводит к тому 
что загруженную один раз ОШ нельзя использовать одновременно в разных 
процессах, желающих расположить её по разным адресам — потому что каж- 
дый загруженный в память экземпляр DLL доводится до того чтобы работать 
только по этим адресам. 


6.4.2. Трюк с LD_PRELOAD в Linux 


Это позволяет загружать свои динамические библиотеки перед другими, даже 
перед системными, такими как ПБс.50.6. 


Что в свою очередь, позволяет «подставлять» написанные нами функции пе- 
ред оригинальными из системных библиотек. 


Например, легко перехватывать все вызовы к Чте(), read(), write(), и т. д. 
Попробуем узнать, сможем ли мы обмануть утилиту uptime. Как известно, она 


сообщает, как долго компьютер работает. При помощи ${гасе(7.3 (стр. 1015)), 
можно увидеть, что эту информацию утилита получает из файла /ргос/ирїіпе: 


$ strace uptime 


open ("/ргос/иртіте", 0 RDONLY) =3 
lseek(3, 0, SEEK_SET) =0 
read(3, "416166.86 414629.38\n", 2047) = 20 


Это не реальный файл Ha диске, это виртуальный файл, содержимое которого 
генерируется на лету в ядре Linux. 


Там просто два числа: 


$ cat /ргос/ирїіте 
416690.91 415152. 03 


Из Wikipedia, можно узнать 11: 


llhttps://en.wikipedia.org/wiki/Uptime 
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Тһе first number is the total number о? seconds the system has 
been up. The second number is how much of that time the machine 
has spent idle, in seconds. 


Попробуем написать свою динамическую библиотеку, в которой будет open(), 
геаа(), сІоѕе() с нужной нам функциональностью. 


Во-первых, наш ореп() будет сравнивать имя открываемого файла с тем что 
нам нужно, и если да, то будет запоминать дескриптор открытого файла. 


Во-вторых, геаа(), если будет вызываться для этого дескриптора, будет nop- 
менять вывод, а в остальных случаях, будет вызывать настоящий геаа() из 
НЬс.50.6. А также сІоѕе(), будет следить, закрывается ли файл за которым мы 
следим. 


Для того чтобы найти адреса настоящих функций в ПБс.50.6, используем dlopen() 
и dlsym(). 


Нам это нужно, потому что нам нужно передавать управление «настоящим» 
функциями. 


С другой стороны, если бы мы перехватывали, скажем, ${гстри(), и следили бы 
за всеми сравнениями строк в программе, то, наверное, ѕїгстр() можно было 
бы и самому реализовать, не пользуясь настоящей функцией 12, так было бы 
проще. 


#include <stdio.h> 
#include <stdarg.h> 
#include <stdlib.h> 
#include <stdbool.h> 
#include <unistd.h> 
#include <dlfcn.h> 
#include <string.h> 


void ж1ірс handle = NULL; 

int (жореп ріг) (сопѕї char ж, int) = NULL; 

int (жс1оѕе ріг) (11%) = NULL; 

ssize t (жгеаа ріг) (іп, void*x, size t) = NULL; 


bool inited = false; 


_Noreturn void die (const char ж fmt, ...) 
{ 
va_list va; 

va_start (va, fmt); 


vprintf (fmt, va); 
exit(0); 
}; 


12 Например, посмотрите как обеспечивается простейший перехват ѕёгстр() в статье 13 написан- 
ной Yong Huang 
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static void find_original_functions () 


{ 
if (inited) 
return; 
116с handle = dlopen ("libc.so.6", RTLD_LAZY); 
if (116с handle==NULL) 
die ("can't open libc.so.6\n"); 
ореп_рїг = dlsym (116с handle, "open"); 
if (open_ptr==NULL) 
die ("can't find ореп()\п"); 
close ptr = dlsym (libc_handle, "close"); 
if (close _ptr==NULL) 
die ("can't find close()\n"); 
read_ptr = dlsym (libc_handle, "геаа"); 
if (read_ptr==NULL) 
die ("can't find read()\n"); 
inited = true; 
} 


static int opened_fd=0; 


int open(const char *раїһпате, int flags) 


{ 
find_original_functions(); 
int fd=(xopen_ptr)(pathname, flags); 
if (strcmp(pathname, "/proc/uptime")==0) 
opened_fd=fd; // that's our file! record its file descriptor 
else 
opened_fd=0; 
return fd; 
}; 
int close(int fd) 
{ 
find_original_functions(); 
if (fd==0opened_fd) 
opened_fd=0; // the file is not opened anymore 
return (жс1оѕе ріг) (14); 
$; 


ssize t геаа(іпї fd, void жри?, size_t count) 


{ 


find_original_functions(); 


if (opened_fd!=0 && fd==opened_fd) 
{ 
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// that's our file! 
return snprintf (buf, count, "%d %4", 0x7fffffff, 02 
S X7fffffff)+1; 
}; 
// not our file, до То real геаа() function 
return (xread_ptr)(fd, buf, count); 
}; 


( Исходный код ) 


Компилируем как динамическую библиотеку: 


gcc -fpic -shared -Wall -o fool uptime.so fool uptime.c -ldl 


Запускаем uptime, подгружая нашу библиотеку перед остальными: 


ЕО_РВЕГОАО=` рма` / Ғоо1 ирііте. зо uptime 


Видим такое: 


01:23:02 ир 24855 days, 3:14, 3 users, load average: 0.00, 0.01, 0.05 


Если переменная окружения [0 РАЕГОАР будет всегда указывать на путь и 
имя файла нашей библиотеки, то она будет загружаться для всех запускае- 
мых программ. 
Еще примеры: 

• Перехват time() в Sun Solaris уигісһем.сот 


• Очень простой перехват strcmp() (Yong Huang) https : //уигісһеу. сот/тіггогѕ/ 
LD_PRELOAD/Yong%20Huang%20LD_PRELOAD. txt 


e Kevin Pulo — Fun with LD_PRELOAD. Много примеров и идей. yurichev.com 


• Перехват функций работы с файлами для компрессии и декомпрессии 
файлов на лету (zlibc). ftp://metalab.unc.edu/pub/Linux/libs/compression 


6.5. Windows МТ 


6.5.1. СВТ (win32) 


Начинается ли исполнение программы прямо с функции та1п()? Нет, не начи- 
нается. Если открыть любой исполняемый файл в IDA или Hiew, то ОЕР указы- 
вает на какой-то совсем другой код. 


Это код, который делает некоторые приготовления перед тем как запустить 
ваш код. Он называется стартап-код или СВТ-код (С RunTime). 


Функция та1п() принимает на вход массив из параметров, переданных в ко- 
мандной строке, а также переменные окружения. Но в реальности в програм- 
му передается командная строка в виде простой строки, это именно СВТ-код 
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находит там пробелы и разрезает строку на части. СВТ-код также готовит мас- 
сив переменных окружения епур. В С!-приложениях win32, вместо таіп() 
имеется функция МіпМаіп со своими аргументами: 


int CALLBACK МіпМаіп ( 
_Тп_ НІМЅТАМСЕ һІпѕїапсе, 
_Тп_ НІМЅТАМСЕ ҺРгеуІпѕїапсе, 
_In_ LPSTR 1рстаіпе, 
_In_ int nCmdShow 

); 


САТ-код готовит и их. 


А также, число, возвращаемое функцией таіп (), это код ошибки возвращае- 
мый программой. В СВТ это значение передается в ЕхіїРгосеѕѕ (), принимаю- 
щей в качестве аргумента код ошибки. 

Как правило, каждый компилятор имеет свой СВТ-код. 


Вот типичный для MSVC 2008 СВТ-код. 


__tmainCRTStartup proc near 


var_24 = dword ptr -24h 
var_20 = dword ptr -20h 
var_1C = dword ptr -1Сһ 
ms_exc = CPPEH_RECORD ptr -18h 
push 14h 
push offset stru 409200 
call _ SEH_prolog4 
mov eax, 5A4Dh 
cmp ds :400000һ, ах 
jnz short 1ос 401096 
mov eax, ds:40003Ch 
cmp dword ptr [eax+400000h], 4550h 
jnz short loc_401096 
mov ecx, 10Bh 
cmp [eax+400018h], cx 
jnz short 1ос 401096 
стр дмога ptr [еах+400074һ], ӨЕҺ 
јре short 1ос 401096 
хог есх, есх 
стр [еах+4000Е8һ], ecx 
ѕеїп2 cl 
mov [ebp+var_1C], ecx 
jmp short loc _ 40109A 
loc 401096: ; CODE XREF: tmainCRTStartup+18 
в tmainCRTStartup+29 ... 
апа [ерр+маг 1С], 0 


14Graphical User Interface 
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loc 40109А: 
push 
call 
pop 
test 
jnz 
push 
call 
pop 


loc_4010AE: 
call 
test 
jnz 
push 
call 
pop 


loc_4010BF: 
call 
and 
call 
test 
jge 
push 
call 
pop 


loc 401009: 
call 
mov 
call 
mov 
call 
test 
jge 
push 
call 
pop 


loc_4010FF: 
call 
test 
jge 
push 
call 
pop 


loc_401110: 
push 
call 
pop 


, 


, 


, 


, 


, 


, 


; CODE XREF: tmainCRTStartup+50 


1 

_ heap_init 

ecx 

eax, eax 

short loc_4010AE 
1Ch 

_fast_error exit 
ecx 


; CODE XREF: tmainCRTStartup+60 


__ mtinit 

eax, eax 

short loc 4010ВЕ 
10h 

_fast_error exit 
ecx 


; CODE XREF: tmainCRTStartup+71 


sub_401F2B 
[ebp+ms_exc.disabled], 0 
__ 101114 

еах, еах 

short 1ос 401009 

1Bh 

_ amsg_exit 

ecx 


; CODE XREF: __ tmainCRTStartup+8B 


ds :GetCommandLineA 
dword_40B7F8, eax 

___ сгібетЕпмігоптепЅї г1п9$А 
dword_40AC60, eax 

_ setargv 

eax, eax 

short loc_4010FF 

8 

_ amsg exit 

ecx 


CODE XREF: tmainCRTStartup+B1 
_ setenvp 

eax, eax 

short loc_401110 

9 

_ amsg_exit 

ecx 


; CODE XREF: tmainCRTStartup+C2 


1 
__сїп1ї 
есх 
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test 
jz 
push 
call 
pop 


loc_401123: 
mov 
mov 
push 
push 
push 
call 
add 
mov 
cmp 
jnz 
push 
call 


$LN28: 
call 
jmp 


$LN27: 
mov 


401044 
mov 


mov 
mov 
push 
push 
call 
pop 
pop 


$LN24: 
retn 


$LN14: 
mov 


401044 
mov 


mov 
cmp 
jnz 
push 
call 


$LN29: 
call 


eax, eax 

short loc_401123 
eax 

_ amsg_exit 

ecx 


; CODE XREF: __ tmainCRTStartup+D6 


eax, envp 
dword_40AC80, eax 

eax ; епур 
argv ; argv 
argc ; argc 
_main 

esp, OCh 

[ebp+var_20], eax 
[ebp+var_1C], 0 

short $LN28 


eax ; uExitCode 
$LN32 

; CODE XREF: _tmainCRTStartup+105 
_ cexit 


short 1ос 401186 


; РАТА XREF: .гдата:ѕ1їги 4092009 


eax, [ебр+тѕ ехс.ехс ріг] ; Exception filter 0 for function 


ecx, [eax] 

ecx, [ecx] 
[ebp+var_24], ecx 
eax 

ecx 

_ XcptFilter 

ecx 

ecx 


; DATA XREF: .rdata:stru_4092D0 


esp, [ebp+ms_exc.old_esp] ; Exception handler 0 for function 


eax, [ebp+var_24] 
[ebp+var_20], eax 
[ebp+var_1C], 0 
short $LN29 


eax ; int 
_ exit 

; CODE XREF: _tmainCRTStartup+135 
_ c exit 
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loc 401186: ; CODE XREF: tmainCRTStartup+112 
mov [ebp+ms_exc.disabled], OFFFFFFFEh 
mov eax, [ебр+уаг_ 20] 
call _ SEH_epilog4 
retn 


Здесь можно увидеть по крайней мере вызов функции GetCommandLineA() (стро- 
ка 62), затем setargv() (строка 66) и setenvp() (строка 74), которые, видимо, 
заполняют глобальные переменные-указатели argc, argv, епур. 


В итоге, вызывается та1п() с этими аргументами (строка 97). 


Также имеются вызовы функций с говорящими именами вроде һеар іпії () 
(строка 35), іоіпії() (строка 54). 


Куча действительно инициализируется в СВТ. Если вы попытаетесь использо- 
вать та11ос() в программе без СВТ, программа упадет с такой ошибкой: 


runtime error R6030 
— CRT not initialized 


Инициализация глобальных объектов B Си++происходит до вызова main(), 
именно в CRT: 3.19.4 (стр. 719). 


Значение, возвращаемое из паіп() передается или в сехії (), или же в $LN32, 
которая далее вызывает оехії (). 


Можно ли обойтись без СВТ? Можно, если вы знаете что делаете. 


В линкере от MSVC точка входа задается опцией /ЕМТВУ. 


#include <windows .h> 


int main() 


{ 
}; 


MessageBox (NULL, "hello, world", "caption", МВ ОК); 


Компилируем B MSVC 2008. 


cl no crt.c user32.lib /link /entry:main 


Получаем вполне работающий .exe размером 2560 байт, внутри которого есть 
только РЕ-заголовок, инструкции, вызывающие MessageBox, две строки в cer- 
менте данных, импортируемая из иѕег32. 411 функция MessageBox, и более Hn- 
чего. 


Это работает, но вы уже не сможете вместо та1п() написать МіпМаіп с его 
четырьмя аргументами. Вернее, если быть точным, написать-то сможете, но 
доступа к этим аргументам не будет, потому что они не подготовлены на мо- 
мент исполнения. 


Кстати, можно еще короче сделать .ехе если уменьшить выравнивание РЕ- 
секций (которое, по умолчанию, 4096 байт). 
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cl по сг. с user32.lib /1іпк /епегу:та1п /а11ідп:16 


Линкер скажет: 


LINK : warning 3К4108: /ALIGN specified without /DRIVER; image may пої гип 


Получим .exe размером 720 байт. Он запускается B Windows 7 x86, но He x64 
(там выдает ошибку при загрузке). При желании, размер можно еще сильнее 
ужать, но, как видно, возникают проблемы с совместимостью с разными вер- 
сиями Windows. 


6.5.2. Win32 РЕ 


РЕ это формат исполняемых файлов, принятый в Windows. 


Разница между .ехе, ‚а, и .SYS в том, что у .ехе и .5уѕ обычно нет экспортов, 
только импорты. 


У ОШ, как и у всех РЕ-файлов, есть точка входа (ОЕР) (там располагается 
функция О11Маіп()), но обычно эта функция ничего не делает. 


.5уѕ это обычно драйвера устройств. 


Для драйверов, Windows требует, чтобы контрольная сумма в РЕ-файле была 
проставлена и была верной!°. 


А начиная с Windows Vista, файлы драйверов должны быть также подписаны 
при помощи электронной подписи, иначе они не будут загружаться. 


В начале всякого РЕ-файла есть крохотная 005-программа, выводящая на кон- 
соль сообщение вроде «This program cannot Бе run т DOS mode.» — если запу- 
стить эту программу в DOS либо Windows 3.1 (ОС не знающие о РЕ-формате), 
выведется это сообщение. 


Терминология 


Модуль — это отдельный файл, .ехе или dll. 


• Процесс — это некая загруженная в память и работающая программа. Как 
правило, состоит из одного .ехе-файла и массы .!1-файлов. 


e Память процесса — память с которой работает процесс. У каждого npo- 
цесса — своя. Там обычно имеются загруженные модули, память стека, 
кучи, ит. д. 


e VAŤ — это адрес, который будет использоваться в самой программе во 
время исполнения. 


15рупатіс-Шпк Library 
16Например, Ніем(7.5 (стр. 1016)) умеет её подсчитывать 
17 киа! Address 
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• Базовый адрес (модуля) — это адрес, по которому модуль должен быть 
загружен в пространство процесса. 


Загрузчик ОС может его изменить, если этот базовый адрес уже занят 
другим модулем, загруженным перед ним. 


e RVA — это ҮА-адрес минус базовый адрес. Многие адреса в таблицах 
РЕ-файла используют В\А-адреса. 


e IAT}? — массив адресов импортированных символов 2°. 
Иногда, директория ІМАСЕ РІЋКЕСТОВҮ ЕМТКУ_ТАТ указывает на IAT. Важно 
отметить, что ІрА (по крайней мере 6.1) может выделить псевдо-секцию 
с именем .іда+а для IAT, даже если IAT является частью совсем другой 
секции! 


e INT?} — массив имен символов для импортирования 22. 


Базовый адрес 


Дело в том, что несколько авторов модулей могут готовить ОИ -файлы для 
других, и нет возможности договориться о том, какие адреса и кому будут 
отведены. 


Поэтому, если у двух необходимых для загрузки процесса ОШ одинаковые ба- 
зовые адреса, одна из них будет загружена по этому базовому адресу, а вторая 
— по другому свободному месту в памяти процесса, и все виртуальные адреса 
во второй ОШ будут скорректированы. 


Очень часто линкер в MSVC генерирует .ехе-файлы с базовым адресом 0х40000023, 
и с секцией кода начинающейся с 0х401000. Это значит, что RVA начала секции 
кода — 0х1000. А DLL часто генерируются М5\С-линкером с базовым адресом 
0х100000002“. 


Помимо всего прочего, есть еще одна причина намеренно загружать модули 
по разным адресам, а точнее, по случайным. 


Это ASLR. 


Дело в том, что некий шелл-код, пытающийся исполниться на зараженной си- 
стеме, должен вызывать какие-то системные функции, а следовательно, знать 
их адреса. 


И в старых ОС (в линейке Windows МТ: до Windows Vista), системные ОШ (такие 
как Кегпе!32.а1, user32.dll) загружались все время по одним и тем же адресам, 
а если еще и вспомнить, что версии этих ОШ редко менялись, то адреса от- 
дельных функций, можно сказать, фиксированы и шелл-код может вызывать 
их напрямую. 


18Relative Virtual Address 

19Import Address Table 

20Matt Pietrek, An In-Depth Look into the Win32 Portable Executable File Format, (2002)] 
21Import Name Table 

22 Matt Pietrek, An In-Depth Look into the Win32 Portable Executable File Format, (2002)] 
23Причина выбора такого адреса описана здесь: MSDN 

24Это можно изменять опцией /ВАЅЕ в линкере 
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Чтобы избежать этого, методика ASLR загружает и вашу программу, и все MO- 
дули ей необходимые, по случайным адресам, разным при каждом запуске. 


В РЕ-файлах, поддержка ASLR отмечается выставлением флага 
IMAGE DLL СНАВАСТЕВІЅТІСЅ рҮМАМІС ВАЅЕ [см: Mark Russinovich, Microsoft Windows 
Internals]. 


Subsystem 


Имеется также none subsystem, обычно это: 
• пайїуе?” (.5уѕ-драйвер), 
e console (консольное приложение) или 


e СИ (не консольное). 


Версия ОС 


В РЕ-файле также задается минимальный номер версии Windows, необходи- 
мый для загрузки модуля. 


Соответствие номеров версий в файле и кодовых наименований Windows, MOX- 
но посмотреть здесь*5. 


Например, MSVC 2005 еще компилирует .ехе-файлы запускающиеся на Windows 
МТ4 (версия 4.00), а вот М5\/С 2008 уже нет (генерируемые файлы имеют Bep- 
сию 5.00, для запуска необходима как минимум Windows 2000). 


М$\С 2012 по умолчанию генерирует .ехе-файлы версии 6.00, для запуска нуж- 
на как минимум Windows Vista. Хотя, изменив настройки компиляции?”, можно 
заставить генерировать и под Windows ХР. 


Секции 


Разделение на секции присутствует, по-видимому, во всех форматах исполня- 
емых файлов. 


Придумано это для того, чтобы отделить код от данных, а данные — от кон- 
стантных данных. 


• На секции кода будет стоять флаг /МАСЕ_$СМ_СМТ_СОРБЕ или ІМАСЕ 5С№М МЕМ ЕХЕСОТЕ 
— это исполняемый код. 


e На секции данных — флаги /МАСЕ 5СМ№ СМТ ІМІТІАЦ2ЕР РАТА, 
ІМАСЕ 5С№ МЕМ КЕАР и ІМАСЕ 5С№ МЕМ \ҮАТТЕ. 


• На пустой секции с неинициализированными данными — 
IMAGE_SCN_CNT_UNINITIALIZED_DATA, ІМАСЕ ЅС№ МЕМ ВЕАР и 
IMAGE $СМ МЕМ WRITE. 


25Что означает, что модуль использует Native АРІ а не Win32 
26Wikipédia 
27MSDN 
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• А на секции с константными данными, то есть, защищенными от записи, 
могут быть флаги 
МАСЕ_$СМ_СМТ ІМІТІАШ2ЕР РАТА и ІМАСЕ ЅСМ№ МЕМ ВЕАР без ІМАСЕ $СМ МЕМ И/ВІТЕ. 
Если попытаться записать что-то в эту секцию, процесс упадет. 


В РЕ-файле можно задавать название для секции, но это не важно. Часто (но не 
всегда) секция кода называется .Техї, секция данных — .data, константных 
данных — .rdata (readable data) (возможно, имеется ввиду также read-only- 
data). Еще популярные имена секций: 


e „idata — секция импортов. IDA может создавать псевдо-секцию с этим же 
именем: 6.5.2 (стр. 972). 


e .едата — секция экспортов (редко встречается) 


e .раа+а — секция содержащая информацию об исключениях в Windows МТ 
для MIPS, IA64 и x64: 6.5.3 (стр. 1006) 


e . геТос — секция релоков 

• „bss — неинициализированные данные 
e „tls — thread local storage (TLS) 

e | Src — ресурсы 


• .СКТ — может присутствует в бинарных файлах, скомпилированных очень 
старыми версиями MSVC 


Запаковщики/зашифровщики РЕ-файлов часто затирают имена секций, или ме- 
няют на свои. 


В М5\/С можно объявлять данные в произвольно названной секции?8. 


Некоторые компиляторы и линкеры могут добавлять также секцию с отладоч- 
ными символами и вообще отладочной информацией (например, MinGW). 


Хотя это не так в современных версиях MSVC (там принято отладочную инфор- 
мацию сохранять в отдельных РОВ-файлах). 


Вот как РЕ-секция описывается в файле: 


typedef struct IMAGE SECTION HEADER { 
BYTE Мате[ТМАСЕ SIZEOF SHORT МАМЕ]; 
union { 
DWORD PhysicalAddress; 
DWORD VirtualSize; 
} Misc; 
DWORD VirtualAddress; 
DWORD Size0fRawData; 
DWORD PointerToRawData; 
DWORD PointerToRelocations; 
DWORD PointerToLinenumbers; 
WORD NumberOfRelocations; 
WORD NumberOfLinenumbers; 
DWORD Characteristics; 


28MSDN 
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|} IMAGE ЅЕСТІОМ НЕАБЕВ, *жРТМАСЕ SECTION HEADER; 


29 


Еще немного терминологии: PointerToRawData называется «Offset» в Нем и 
МігіиаіІАаагеѕѕ называется «RVA» там же. 


Секция данных 


Секция данных в файле может быть меньше, чем в памяти. Например, неко- 
торые переменные могут быть инициализированы, а некоторые — нет. Тогда 
компилятор и линкер объединяют их все в одну секцию, но первая часть сек- 
ции инициализирована и находится в файле, а вторая отсутствует в файле (ко- 
нечно, для экономии места). VirtualSize будет равен размеру секции в памяти, 
а SizeOfRawData будет равен размеру секции в файле. 


РА будет показывать границу между инициализированной и неинициализиро- 
ванной частями так: 


„ата: 10017ЕЕА db 0 
„ата: 10017ҒЕВ db 0 
„Дата: 190017ЕЕС ар 0 
.аа+а: 10017ЕЕр db 0 
.аа+а: 10017ЕҒЕ db 0 
.аа+а: 10017ЕЕЕ db 0 
.Чата:10018000 ар ? ; 
.дӢа+а: 10018001 ар ? ; 
.дӢа+а: 10018002 ар Ta 
.data:10018003 db Pos 
.data:10018004 db ?; 
.Чата:10018005 ар ? ; 


.rdata — секция данных только для чтения 


Тут обыкновенно располагаются строки (потому что они имеют тип const char*, 
другие переменные отмеченные как const, имена импортируемых ф-ций. 


См.также: 3.2 (стр. 589). 


Релоки 


Также известны как ЕІХОР-ы (по крайней мере в Нем). 


Это также присутствует почти во всех форматах загружаемых и исполняемых 
файлов 20. 


29MSDN 
30 Даже .ехе-файлы в MS-DOS 
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Исключения это динамические библиотеки явно скомпилированные с РІС или 
любой другой Р!С-код. 


Зачем они нужны? Как видно, модули могут загружаться по другим базовым 
адресам, но как же тогда работать с глобальными переменными, например? 


Ведь нужно обращаться к ним по адресу. Одно из решений — это адресно- 
независимый код (6.4.1 (стр. 959)). Но это далеко не всегда удобно. 


Поэтому имеется таблица релоков. Там просто перечислены адреса мест в мо- 
дуле подлежащими коррекции при загрузке по другому базовому адресу. 


Например, по 0х410000 лежит некая глобальная переменная, и вот как обеспе- 
чивается её чтение: 


А1 00 00 41 00 mov eax, [000410000] 


Базовый адрес модуля 0x400000, a RVA глобальной переменной 0x10000. 


Если загружать модуль по базовому адресу 0х500000, нужно чтобы адрес этой 
переменной в этой инструкции стал 0х510000. 


Как видно, адрес переменной закодирован в самой инструкции MOV, после бай- 
та 9хА1. 


Поэтому адрес четырех байт, после 0хА1, записывается в таблицу релоков. 


Если модуль загружается по другому базовому адресу, загрузчик ОС обходит 
все адреса в таблице, находит каждое 32-битное слово по этому адресу, от- 
нимает от него настоящий, оригинальный базовый адрес (в итоге получается 
RVA), и прибавляет к нему новый базовый адрес. 


А если модуль загружается по своему оригинальному базовому адресу, ничего 
не происходит. 


Так можно обходиться со всеми глобальными переменными. 


Релоки могут быть разных типов, однако в Windows для х86-процессоров, тип 
обычно 
ІМАСЕ ВЕІ ВАЅЕР НІСНІОИ. 


Кстати, релоки маркируются темным в Нем, например: илл.1.21. (Эти места 
нужно обходить в процессе патчинга.) 


OllyDbg подчеркивает места в памяти, к которым будут применены релоки, Ha- 
пример: илл.1.52. 


Экспорты и импорты 


Как известно, любая исполняемая программа должна как-то пользоваться сер- 
висами ОС и прочими ОШ -библиотеками. 


Можно сказать, что нужно связывать функции из одного модуля (обычно ОШ) 
и места их вызовов в другом модуле (.ехе-файл или другая DLL). 


Для этого, у каждой ОШ есть «экспорты», это таблица функций плюс их адреса 
в модуле. 
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А у .ехе-файла, либо DLL, есть «импорты», это таблица функций требующихся 
для исполнения включая список имен ОршШ-файлов. 


Загрузчик ОС, после загрузки основного .ехе-файла, проходит по таблице им- 
портов: загружает дополнительные ОР -файлы, находит имена функций среди 
экспортов в ОШ и прописывает их адреса в ІАТ в головном .ехе-модуле. 


Как видно, во время загрузки, загрузчику нужно много сравнивать одни имена 
функций с другими, а сравнение строк — это не очень быстрая процедура, так 
что, имеется также поддержка «ординалов» или «һїпї»-ов, это когда в таблице 
импортов проставлены номера функций вместо их имен. 


Так их быстрее находить в загружаемой DLL. В таблице экспортов ординалы 
присутствуют всегда. 


К примеру, программы использующие библиотеки МЕС?!, обычно загружают 
mfc*.dll по ординалам, и в таких программах, в INT, нет имен функций МЕС. 


При загрузке такой программы в IDA, она спросит у вас путь к файлу mfc*.dll, 
чтобы установить имена функций. Если в IDA не указать путь к этой DLL, то 
вместо имен функций будет что-то вроде тК80_123. 


Секция импортов 


Под таблицу импортов и всё что с ней связано иногда отводится отдельная 
секция (с названием вроде .ідаїа), но это не обязательно. 


Импорты — это запутанная тема еще и из-за терминологической путаницы. 
Попробуем собрать всё в одно место. 


31Microsoft Foundation Classes 
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ре Ао © textstrings 


IMAGE_IMPORT_DESCRIPTOR for kernel32.dll| 


OriginalF irstThunk 
TimeDateStamp = 0 


16-bit hint, "GetFileSize" 


OriginalF irstThunk 
TimeDateStamp = 0 
ForwarderChain = 0 


16-bit hint, "Sleep" 
ForwarderChain = 0 
Name 16-bit hint, "WriteFile" 
< | FirstThunk ; { 
: - Гкетез2.а" 
- | МАСЕ ІМРОКТ_РЕЅСКІРТОК for изег32.@! | | : | 


Мате 
FirstThunk 


OriginalFirstThunk = 0 (These values аге set by loader) 
TimeDateStamp = 0 #1 __imp_CreateFileA 

#2 — тр СеіЕіебіге 

#3 _ тр_Зеер 


#4 тр _WriteFile 


РогмагдегСпат = 0 
Мате = 0 
FirstThunk = 0 


#1 (IMAGE_DIRECTORY_ENTRY_IMPORT)} 


#5 (IMAGE_DIRECTORY_ENTRY_BASERELOC) b 


шш — / 


ДРЕ 15 xx xx хх хх сай __imp_GetFileSize 


IMAGE_REL_BASED_HIGHLOW, RVA оГ... 
IMAGE_REL_BASED_HIGHLOW, RVA оГ... 


ЕЕ 25 xx хх хх xx jmp _imp_Sleep 


IMAGE _REL_BASED_HIGHLOW, RVA of .. 


IMAGE_REL_BASED_HIGHLOW, RVA оѓ... 
и Й iteFile: РЕ 25 хх хх хх хх jmp _imp_WriteFile 
IMAGE_REL_BASED_HIGHLOW, КУА оғ... 


Рис. 6.1: схема, объединяющая все структуры в РЕ-файлы, связанные с импор- 
тами 


Самая главная структура — это массив /МАСЕ 1МРОВТ_РЕ$ЗСЕРТОВ. Каждый 
элемент на каждую импортируемую DLL. 


У каждого элемента есть В\А-адрес текстовой строки (имя DLL) (Мате). 


OriginalFirstThunk это ВМА -адрес таблицы INT. Это массив В\А-адресов, Kax- 
дый из которых указывает на текстовую строку где записано имя функции. 
Каждую строку предваряет 16-битное число («һїпї») — «ординал» функции. 


Если при загрузке удается найти функцию по ординалу, тогда сравнение тек- 
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стовых строк не будет происходить. Массив оканчивается нулем. 


Есть также указатель на таблицу IAT с названием FirstThunk, это просто RVA- 
адрес места, где загрузчик будет проставлять адреса найденных функций. 


Места где загрузчик проставляет адреса, IDA именует их так: _imp_CreateFileA, 
etc. 


Есть по крайней мере два способа использовать адреса, проставленные загруз- 
чиком. 


• В коде будут просто инструкции вроде call __imp_CreateFileA, а так как, no- 
ле с адресом импортируемой функции это как бы глобальная переменная, 
то в таблице релоков добавляется адрес (плюс 1 или 2) в инструкции call, 
на случай если модуль будет загружен по другому базовому адресу. 


Но как видно, это приводит к увеличению таблицы релоков. Ведь вызовов 
импортируемой функции у вас в модуле может быть очень много. К тому 
же, чем больше таблица релоков, тем дольше загрузка. 


• На каждую импортируемую функцию выделяется только один переход на 
импортируемую функцию используя инструкцию ЈМР плюс релок на эту ин- 
струкцию. Такие места-«переходники» называются также «їһипК»-ами. А 
все вызовы импортируемой функции это просто инструкция CALL на соот- 
ветствующий «їһипК». В данном случае, дополнительные релоки не нуж- 
ны, потому что эти САШ-ы имеют относительный адрес, и корректировать 
их не надо. 


Оба этих два метода могут комбинироваться. Надо полагать, линкер создает 
отдельный «thunk», если вызовов слишком много, но по умолчанию — не со- 
здает. 


Кстати, массив адресов функций, на который указывает FirstThunk, не обяза- 
тельно может быть в секции ІАТ. К примеру, автор сих строк написал утилиту 
РЕ ада ітрогї?? для добавления импорта в уже существующий .ехе-файл. Рань- 
ше, в прошлых версиях утилиты, на месте функции, вместо которой вы хотите 
подставить вызов в другую DLL, моя утилита вписывала такой код: 


MOV EAX, [yourdll.dll!function] 
JMP EAX 


При этом, FirstThunk указывает прямо на первую инструкцию. Иными словами, 
загрузчик, загружая уочга|.а!, прописывает адрес функции function прямо в 
коде. 


Надо также отметить что обычно секция кода защищена от записи, так что, 
моя утилита добавляет флаг 

1МАСЕ $СМ_МЕМ_М/ЕТЕ для секции кода. Иначе при загрузке такой программы, 
она упадет с ошибкой 5 (access denied). 


Может возникнуть вопрос: а что если я поставляю программу с набором ОШ, 


32yurichev.com 
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которые никогда не будут меняться (в т.ч., адреса всех функций в этих DLL), 
может как-то можно ускорить процесс загрузки? 


Да, можно прописать адреса импортируемых функций в массивы FirstThunk 
заранее. 

Для этого в структуре /МАСЕ ІМРОКТ РЕ$ЗСЕИРТОВ имеется поле Timestamp. И 
если там присутствует какое-то значение, то загрузчик сверяет это значение 
с датой-временем ОШ -файла. И если они равны, то загрузчик больше ничего 
не делает, и загрузка может происходить быстрее. 


Это называется «old-style binding» 33. В Windows SDK для этого имеется ути- 
лита BIND.EXE. Для ускорения загрузки вашей программы, Matt Pietrek в Matt 
Pietrek, Ал In-Depth Look тю the Win32 Portable Executable File Format, (2002)]2*, 
предлагает делать binding сразу после инсталляции вашей программы Ha KOM- 
пьютере конечного пользователя. 


Запаковщики/зашифровщики РЕ-файлов могут также сжимать/шифровать таб- 
лицу импортов. В этом случае, загрузчик Windows, конечно же, не загрузит все 
нужные ОШ. Поэтому распаковщик/расшифровщик делает это сам, при помо- 
щи вызовов LoadLibrary() и Се РгосАааге5°5(). Вот почему в запакованных фай- 
лах эти две функции часто присутствуют в ІАТ. 


В стандартных DLL входящих в состав Windows, часто, IAT находится в самом 
начале РЕ-файла. 


Возможно это для оптимизации. Ведь .ехе-файл при загрузке не загружается в 
память весь (вспомните что инсталляторы огромного размера подозрительно 
быстро запускаются), он «мапится» (тар), и подгружается в память частями 
по мере обращения к этой памяти. 


И возможно в Microsoft решили, что так будет быстрее. 


Ресурсы 


Ресурсы в РЕ-файле — это набор иконок, картинок, текстовых строк, описа- 
ний диалогов. Возможно, их в свое время решили отделить от основного кода, 
чтобы все эти вещи были многоязычными, и было проще выбирать текст или 
картинку того языка, который установлен в ОС. 


В качестве побочного эффекта, их легко редактировать и сохранять обратно в 
исполняемый файл, даже не обладая специальными знаниями, например, ре- 
дактором ResHack (6.5.2 (стр. 981)). 


„МЕТ 


Программы на .МЕТ компилируются не в машинный код, а в свой собственный 
байткод. Собственно, в .ехе-файле байткод вместо обычного кода, однако, точ- 
ка входа (ОЕР) указывает на крохотный фрагмент х86-кода: 


33MSDN. Существует также «new-style binding». 
34Также доступно здесь: http://msdn.microsoft.com/en-us/magazine/bb985992.aspx 
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јтр тсогее . 411! СогЕхеМаіп 


А в тзсогее.а! и находится .МЕТ-загрузчик, который уже сам будет работать с 
РЕ-файлом. 


Так было в ОС до Windows ХР. Начиная с ХР, загрузчик ОС уже сам определяет, 
что это .МЕТ-файл и запускает его не исполняя этой инструкции ЈМР?>. 


TLS 


Эта секция содержит B себе инициализированные данные для TLS(6.2 (стр. 951)) 
(если нужно). При старте нового треда, его ТЕ5-данные инициализируются дан- 
ными из этой секции. 


Помимо всего прочего, спецификация РЕ-файла предусматривает инициали- 
зацию ТІ5-секции, T.H., TLS callbacks. Если они присутствуют, то они будут Bbl- 
званы перед тем как передать управление на главную точку входа (ОЕР). Это 
широко используется запаковщиками/зашифровщиками РЕ-файлов. 


Инструменты 


e орјаитр (имеется в cygwin) для вывода всех структур РЕ-файла. 
e Ніеу(7.5 (стр. 1016)) как редактор. 

e рее — Ру{поп-библиотека для работы с РЕ-файлами 26. 

• ResHack АКА Resource Hacker — редактор ресурсов 37. 


• РЕ ааа_ипрой38 — простая утилита для добавления символа/-ов в таблицу 
импортов РЕ-файла. 


e РЕ раісһег?? — простая утилита для модификации РЕ-файлов. 


e РЕ ѕеагсһ ѕїг ге!5“0 — простая утилита для поиска функции в РЕ-файле, 
где используется некая текстовая строка. 


Further reading 


• Daniel Pistelli — The .NET File Format ^1 


35MSDN 

36https://code.google.com/p/pefile/ 
37https://code.google.com/p/pefile/ 
38http://yurichev.com/PE ааа _imports.html 

39уцгісһеу.сот 

40уџцгісһем.сот 
Alhttp://ww.codeproject.com/Articles/12585/The-NET-File-Format 
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6.5.3. Windows SEH 
Забудем на время o MSVC 


SEH в Windows предназначен для обработки исключений, тем не менее, с Си++и 
ООП он никак не связан. Здесь мы рассмотрим ЅЕН изолированно от Си++ и 
расширений MSVC. 


Каждый процесс имеет цепочку 5ЕН-обработчиков, и адрес обработчика, опре- 
деленного последним, записан в каждом ТІВ. Когда происходит исключение 
(деление на ноль, обращение по неверному адресу в памяти, пользователь- 
ское исключение, поднятое при помощи ВаіѕеЕхсерііоп()), ОС находит no- 
следний обработчик в ТІВ и вызывает его, передав ему тип исключения и всю 
информацию о состоянии CPU в момент исключения (все значения регистров, 
ит. д.). Обработчик выясняет, то ли это исключение, для которого он созда- 
вался? 


Если да, то он обрабатывает исключение. Если нет, то показывает ОС что он не 
может его обработать и ОС вызывает следующий обработчик в цепочке, и так 
до тех пор, пока не найдется обработчик способный обработать исключение. 


В самом конце цепочки находится стандартный обработчик, показывающий 
всем очень известное окно, сообщающее что процесс упал, сообщает также 
состояние СРО в момент падения и позволяет собрать и отправить информа- 
цию обработчикам в Microsoft. 


сгазћ.ехе has encountered а problem and needs to 
close. We аге sorry for the inconvenience. 


If you were in the middle of something, the information you were working on 
might be lost. 


Please tell Microsoft about this problem. 


We have created an error report that you can send to us. Wwe will treat 
this report as confidential and anonymous. 


To see what data this error report contains, 


Send Error Report | Don't Send | 


Рис. 6.2: Windows XP 
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Error Report Contents 


Рис. 6.3: Windows ХР 


Рис. 6.4: Windows 7 
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сгаѕћ.ехе has stopped working 


А problem caused the program to stop working correctly. 
Windows will close the program and notify you if a solution is 
available. 


Close program 


Рис. 6.5: Windows 8.1 


Раньше этот обработчик назывался Dr. Watson. 


Кстати, некоторые разработчики делают свой собственный обработчик, отправ- 
ляющий информацию о падении программы им самим. 

Он регистрируется при помощи функции SetUnhandledExceptionFilter() и 
будет вызван если ОС не знает, как иначе обработать исключение. 


А, например, Oracle RDBMS в этом случае генерирует огромные дампы, содер- 
жащие всю возможную информацию и состоянии СРО и памяти. 


Попробуем написать свой примитивный обработчик исключений. Этот пример 
основан на примере из [Matt Pietrek, А Crash Course оп the Depths of Win32™ 
Structured Exception Handling, (1997)]^?. Он должен компилироваться C опци- 
ей ЅАҒЕЅЕН: cl ѕеһ1.срр /1іпк /заТезей:по. Подробнее об опции SAFESEH 
здесь: MSDN. 


#include <windows .h> 
#include <stdio.h> 


DWORD new value=1234; 


EXCEPTION DISPOSITION cdecl except_handler( 
struct _EXCEPTION_RECORD *Ехсерї1опВесога, 
void * EstablisherFrame, 
struct _CONTEXT *ContextRecord, 
void ж DispatcherContext ) 


unsigned i; 


printf ("%s\n", _ FUNCTION ); 

printf ("ExceptionRecord->ExceptionCode=0x%p\n", ExceptionRecord->/ 
4 ExceptionCode); 

printf ("ExceptionRecord->ExceptionFlags=0x%p\n", ExceptionRecord->/ 
S ExceptionFlags); 

printf ("ExceptionRecord->ExceptionAddress=0x%p\n", ExceptionRecord/ 
„ —->ExceptionAddress); 


42Takxe доступно здесь: http://www.microsoft.com/msj/0197/Exception/Exception.aspx 
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if (ЕхсертіопКесога->Ехсер+іопСойе==0хЕ1223344) 


{ 
printf ("That's for иѕ\п"); 
// yes, we "handled" the exception 
return ExceptionContinueExecution; 
} 


else if (ЕхсерііопВАесога->ЕхсерііопСойе==ЕХСЕРТІОМ№ АССЕ55 \МІОГАТІОМ 2 
S) 


{ 
printf ("ContextRecord->Eax=0x%08X\n", ContextRecord->Eax); 
// will it be possible to 'fix' it? 
printf ("Trying to fix wrong pointer address\n"); 
ContextRecord->Eax=(DWORD)&new value; 
// yes, we "handled" the exception 
return ExceptionContinueExecution; 
} 
else 
{ 
printf ("We do not handle this\n"); 
// someone else's problem 
return ExceptionContinueSearch; 
}; 
} 
int main() 
{ 


DWORD handler = (DWORD)except_handler; // take a pointer to our 
handler 


// install exception handler 


asm 
{ // make EXCEPTION _ REGISTRATION 
record: 
push handler // address of handler function 
push FS: [0] // address of previous handler 
mov FS: [0], ESP // add new EXECEPTION REGISTRATION 
} 


RaiseException (0xE1223344, 0, 0, NULL); 


// now do something very bad 
int» ptr=NULL; 

int val=0; 

val=*ptr; 

printf ("val=%d\n", val); 


// deinstall exception handler 


asm 
// remove our ЕХЕСЕРТТОМ REGISTRATION 
record 
mov eax, [ESP] // get pointer to previous record 
mov FS: [0], EAX // install previous record 
add esp, 8 // clean our ЕХЕСЕРТТОМ REGISTRATION 
off ~ 
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return 0; 


Сегментный регистр FS: в win32 указывает на ТІВ. Самый первый элемент ТІВ 
это указатель на последний обработчик в цепочке. Мы сохраняем его в сте- 
ке и записываем туда адрес своего обработчика. Эта структура называется 
_ЕХСЕРТТОМ ВЕСІЅТВАТІОМ, это простейший односвязный список, и эти элемен- 
ты хранятся прямо в стеке. 


Листинг 6.22: MSVC/VC/crt/src/exsup.inc 


_ЕХСЕРТТОМ ВЕСТЗТКАТТОМ struc 
prev dd ? 
handler dd ? 

_EXCEPTION_REGISTRATION ends 


Так что каждое поле «Пап ег» указывает на обработчик, а каждое none «prev» 
указывает на предыдущую структуру в цепочке обработчиков. Самая послед- 
няя структура имеет ©хЕЕЕЕЕЕЕЕ (-1) в поле «prev». 


ТІВ Стек 


Prev=0xFFFFFFFF 


+0: _except_list 


функция- 
обработчик 


функция- 
обработчик 


функция- 
обработчик 


После инсталляции своего обработчика, вызываем Ва1<еЕхсерї1оп ()°З. Это nonb- 
зовательские исключения. Обработчик проверяет код. 

Если код 0хЕ1 223344, то он возвращает ЕхсерїіопСопїіпиеЕхеси+іоп, что сиг- 
нализирует системе что обработчик скорректировал состояние СРО (обычно 

это регистры ЕІР/ЕЅР) и что ОС может возобновить исполнение треда. Если вы 
немного измените код так что обработчик будет возвращать ExceptionContinueSearch, 
то ОС будет вызывать остальные обработчики в цепочке, и вряд ли найдется 


43MSDN 
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тот, кто обработает ваше исключение, ведь информации о нем (вернее, его ко- 
де) ни у кого нет. Вы увидите стандартное окно Windows о падении процесса. 


Какова разница между системными исключениями и пользовательскими? Вот 


системные: 

как определен в WinBase.h как определен в пї<їаїи<.һ как число 

ЕХСЕРПОМ АССЕЗ5 МІОГАТІОМ STATUS_ACCESS_VIOLATION 0хС0000005 
ЕХСЕРПОМ РАТАТУРЕ MISALIGNMENT STATUS DATATYPE MISALIGNMENT 0x80000002 
EXCEPTION_BREAKPOINT STATUS ВАЕАКРОІМТ 0x80000003 
EXCEPTION_SINGLE STEP STATUS_SINGLE STEP 0x80000004 
EXCEPTION ARRAY BOUNDS EXCEEDED STATUS ARRAY BOUNDS EXCEEDED 0хСОООООВС 
EXCEPTION_FLT DENORMAL OPERAND STATUS FLOAT DENORMAL ОРЕВАМО | 0хС0000080 
EXCEPTION FLT DIVIDE ВУ ZERO STATUS FLOAT DIVIDE ВУ ZERO 0хС000008Е 
EXCEPTION FLT INEXACT RESULT STATUS FLOAT INEXACT RESULT 0хС000008Е 
ЕХСЕРТІОМ ЕСТ ІМУАСО ОРЕВАПОМ STATUS ЕГОАТ ИММАПО ОРЕВАПОМ 0хС0000090 
EXCEPTION ЕСТ OVERFLOW STATUS FLOAT OVERFLOW 0хСООООО91 
EXCEPTION FLT STACK CHECK STATUS FLOAT STACK CHECK 0хС0000092 
EXCEPTION FLT UNDERFLOW STATUS FLOAT UNDERFLOW 0хС0000093 
ЕХСЕРТІОМ ГАТ ОМОЕ ВУ 7ЕВО ЅТАТОЅ ІМТЕСЕҢ DIVIDE ВУ 7ЕВО 0хС0000094 
ЕХСЕРПОМ _INT_OVERFLOW STATUS INTEGER OVERFLOW 0хС0000095 
EXCEPTION РАТУ INSTRUCTION STATUS PRIVILEGED INSTRUCTION 0хС0000096 
ЕХСЕРТІОМ ІА РАСЕ ЕВВОВ ЅТАТОЅ № РАСЕ ERROR 0хС0000006 
ЕХСЕРПОМ ILLEGAL INSTRUCTION STATUS ILLEGAL INSTRUCTION 0хС0000010 
EXCEPTION МОМСОМИМОАВГЕ EXCEPTION STATUS МОМСОМИМОАВГЕ EXCEPTION | 0хС0000025 
ЕХСЕРПОМ 5ТАСК OVERFLOW ЅТАТОЅ 5ТАСК OVERFLOW 0хС00000ЕБ 
EXCEPTION _INVALID_DISPOSITION STATUS INVALID_DISPOSITION 0хС0000026 
EXCEPTION СОАВО РАСЕ STATUS GUARD РАСЕ VIOLATION 0x80000001 
EXCEPTION_INVALID_HANDLE ЅТАТОЅ ІМУАЦЮО НАМОГЕ 0хС0000008 
ЕХСЕРПОМ POSSIBLE DEADLOCK STATUS POSSIBLE DEADLOCK 0хС0000194 
CONTROL С EXIT STATUS CONTROL C EXIT 0хСОООО1ЗА 


Так оп ределяется код: 
31 29 28 27 16 


510 Facility code 


Error code 


5 это код статуса: 11 — ошибка; 10 — предупреждение; 01 — информация; 00 
— успех. U —- является ли этот код пользовательским, а не системным. 


Вот почему мы выбрали 0хЕ1 223344 — Е; (1110-2) ОхЕ (111060) означает, что 
это 1) пользовательское исключение; 2) ошибка. Хотя, если быть честным, этот 
пример нормально работает и без этих старших бит. 


Далее мы пытаемся прочитать значение из памяти по адресу 0. Конечно, в 
win32 по этому адресу обычно ничего нет, и сработает исключение. Однако, 
первый обработчик, который будет заниматься этим делом — ваш, и он узнает 


об этом первым, проверяя код на соответствие с константной ЕХСЕРТТОМ АССЕЅ5 _ VIOLATION. 


А если заглянуть в то что получилось на ассемблере, то можно увидеть, что 
код читающий из памяти по адресу О, выглядит так: 


Листинг 6.23: MSVC 2010 
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хог еах, еах 


mov eax, DWORD PTR [eax] ; exception will occur here 
push eax 

push OFFSET msg 

call _printf 


add esp, 8 


Возможно ли «на лету» исправить ошибку и предложить программе исполнять- 
ся далее? Да, наш обработчик может изменить значение в ЕАХ и предложить 
ОС исполнить эту же инструкцию еще раз. Что мы и делаем. printf() Hane- 
чатает 1234, потому что после работы нашего обработчика, ЕАХ будет не 0, а 
будет содержать адрес глобальной переменной пем value. Программа будет 
исполняться далее. 


Собственно, вот что происходит: срабатывает защита менеджера памяти в 
CPU, он останавливает работу треда, отыскивает в ядре Windows обработчик 
исключений, тот, в свою очередь, начинает вызывать обработчики из цепочки 
ЅЕН, по одному. 


Мы компилируем это всё в MSVC 2010, но конечно же, нет никакой гарантии 
что для указателя будет использован именно регистр ЕАХ. 


Этот трюк с подменой адреса эффектно выглядит, и мы рассматриваем его 
здесь для наглядной иллюстрации работы ЅЕН. 


Тем не менее, трудно припомнить, применяется ли где-то подобное на прак- 
тике для исправления ошибок «на лету». 


Почему ЅЕН-записи хранятся именно в стеке а не в каком-то другом месте? Воз- 
можно, потому что ОС не нужно заботиться об освобождении этой информа- 
ции, эти записи просто пропадают как ненужные когда функция заканчивает 
работу. 


Это чем-то похоже на alloca(): (1.9.2 (стр. 48)). 


Теперь вспомним М$\УС 


Должно быть, программистам Microsoft были нужны исключения в Си, но не 
в Си++(для использования в ядре Windows МТ, которое написано на Си), так 
что они добавили нестандартное расширение Си в MSVC 44. Оно не связано с 
исключениями в Си++. 


_ try 
{ 
} 
_ except(filter code) 


{ 
} 


handler code 


44MSDN 
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Блок «finally» может присутствовать вместо код обработчика: 


— try 
{ 
} 
_ finally 
{ 


} 


Код-фильтр — это выражение, отвечающее на вопрос, соответствует ли код 
этого обработчика к поднятому исключению. Если ваш код слишком большой 
и не помещается в одно выражение, отдельная функция-фильтр может быть 
определена. 


Таких конструкций много в ядре Windows. Вот несколько примеров оттуда (WRK): 


Листинг 6.24: WRK-v1.2/base/ntos/ob/obwait.c 


try { 


КеВе1 еаѕеМи+ап+ ( (РКМОТАМТ) Ѕідпа10Објес+, 
МОТАМТ_ ІМСАЕМЕМТ, 
FALSE, 
TRUE ); 


} except ((GetExceptionCode () == STATUS_ABANDONED || 
GetExceptionCode () == STATUS_MUTANT_NOT_OWNED)? 
EXCEPTION_EXECUTE_HANDLER : 
EXCEPTION_CONTINUE_SEARCH) { 
Status = GetExceptionCode(); 


goto WaitExit; 


Листинг 6.25: WRK-v1.2/base/ntos/cache/cachesub.c 


try { 


RtlCopyBytes( (PVOID) ((PCHAR)CacheBuffer + Page0ffset), 
UserBuffer, 
MorePages ? 
(РАСЕ SIZE – Page0ffset) 
(ReceivedLength - Page0ffset) ); 


} except( CcCopyReadExceptionFilter( GetExceptionInformation(), 
&Status ) ) { 


Вот пример кода-фильтра: 


Листинг 6.26: МАК-у1.2/раѕе/піоѕ/сасһе/соруѕир.с 


LONG 
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СсСоруВеааєхсертіопЕі1+ег ( 
ІМ РЕХСЕРТТОМ РОТМТЕК$ ExceptionPointer, 
ІМ РМТЅТАТОЅ ExceptionCode 
) 


/ж++ 

Routine Description: 
This routine serves as an exception filter and has the special job of 
extracting the "real" I/O error when Mm raises ЅТАТЏЅ ТМ РАСЕ ERROR 
beneath us. 


Arguments: 


ExceptionPointer – A pointer to the exception record that contains 
the real Io Status. 


ExceptionCode - A pointer to ап NTSTATUS that is to receive the real 
status. 


Return Value: 


EXCEPTION_EXECUTE_ HANDLER 


——*/ 

{ 
xExceptionCode = ExceptionPointer->ExceptionRecord->ExceptionCode; 
if ( (xExceptionCode == STATUS ІМ PAGE ERROR) && 

(ExceptionPointer->ExceptionRecord->NumberParameters >= 3) ) { 
xExceptionCode = (NTSTATUS) ExceptionPointer->ExceptionRecord->/ 

ъ ExceptionInformation[2]; 
} 
ASSERT( !NT_SUCCESS(*ExceptionCode) ); 
return EXCEPTION _ EXECUTE HANDLER; 

} 


Внутри, SEH это расширение исключений поддерживаемых OS. 


Но функция обработчик теперь или except_handler3 (для ЅЕНЗ) или _ехсер*_ һапд1ег4 


(для ЗЕНА). Код обработчика от MSVC, расположен в его библиотеках, или же в 
msvcr*.dll. Очень важно понимать, что SEH это специфичное для М$\С. Другие 
мт32-компиляторы могут предлагать что-то совершенно другое. 


ЅЕНЗ 


ЅЕНЗ имеет except_handler3 как функцию-обработчик, и расширяет структу- 
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_ЕХСЕРТТОМ ВЕСІЅТВАТІОМ добавляя указатель на scope table и переменную previous 
ігу level. ЅЕН4 расширяет scope table добавляя еще 4 значения связанных с за- 
щитой от переполнения буфера. 


scope table это таблица, состоящая из указателей на код фильтра и обработ- 
чика, для каждого уровня вложенности у/ехсере. 


ТІВ Stack 


+0: _except_list 


таблица scope 


ОХЕЕЕЕЕЕЕЕ (-1) 


функция-фильтр 


функция- 
обработчик 


функция- 
обработчик 
информация для 
первого блока 


{гу/ехсере 


функция- 
обработчик/Япайу- 
обработчик 


информация для и 
второго блока функция-фильтр 
{гу/ехсере 


функция- 


обработчик/Япайу- 
обработчик 


_ехсерї һапаіегз 


предыдущий уро- 
вень їгу 


информация для 
третьего блока функция-фильтр 
{гу/ехсере 


функция- 


обработчик/Япайу- 
обработчик 


... остальные 
элементы РЕА 


И снова, очень важно понимать, что OS заботится только о полях prev/handle, 
и больше ничего. Это работа функции ехсерї һапд1егз читать другие поля, 
читать scope table и решать, какой обработчик исполнять и когда. 


Исходный код функции except_handler3 закрыт. Хотя, Sanos OS, имеющая 
слой совместимости с міп32, имеет некоторые функции написанные заново, 
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которые в каком-то смысле эквивалентны тем что в Windows ®. Другие попыт- 
ки реализации имеются в МИпе“6 и ReactOS”. 


Если указатель filter ноль, handler указывает на код finally . 
Во время исполнения, значение previous try level в стеке меняется, чтобы функ- 


ция except_handler3 знала о текущем уровне вложенности, чтобы знать, Ka- 
кой элемент таблицы scope table использовать. 


$ЕНЗ: пример с одним блоком їгу/ехсерї 


#include <stdio.h> 
#include <windows .h> 
#include <excpt.h> 


int main() 
{ 
int» p = NULL; 
__ гу 
{ 
printf("hello #1!\п"); 
жр = 13; // causes ап access violation exception; 
printf("hello #2!\n"); 
} 
_ except (GetExceptionCode ()==EXCEPTION_ACCESS_VIOLATION ? 
EXCEPTION _ EXECUTE HANDLER : EXCEPTION CONTINUE SEARCH) 
{ 
printf("access violation, can't recover\n"); 
} 
} 
Листинг 6.27: MSVC 2003 
$5674605 ОВ 'hello #1!', бан, оон 
$5674606 ОВ 'hello #2!', бан, ӨӨН 
$5674608 ОВ 'ассез5 violation, сап''{ гесомег', бан, ӨӨН 
_ОАТА ENDS 
; scope table: 
CONST SEGMENT 
$T74622 DD OffffffffH ; previous try level 


DD FLAT:$L74617 ; filter 
DD FLAT:$L74618 ; handler 


CONST ENDS 

_TEXT SEGMENT 

$T74621 = -32 ; size 4 
_р$ = -28 ; size = 4 


45https ://code.google.com/p/sanos/source/browse/src/win32/msvcrt/except.c 
46GitHub 
47 http://doxygen.reactos.org/d4/df2/lib_2sdk_2crt_2except_2except_8c_source.html 
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__$5ЕНВес$ = -24 ; size = 24 
_ма1п РВОС МЕАК 


push ebp 

mov ebp, esp 

push -1 ; previous try level 
push OFFSET FLAT:$T74622 ; scope table 

push OFFSET FLAT: _except_handler3 ; handler 

mov eax, DWORD PTR #5: ехсерї 1151 

push eax ; prev 


mov DWORD РТА fs: _ except_list, esp 
add esp, -16 
; 3 registers to be saved: 


push ebx 
push ез1 
push edi 


mov DWORD РТА __$5ЕНКес$ [ебр], esp 

mov DWORD PTR _p$[ebp], 0 

mov DWORD РТА  $SEHRecļ$[ebp+20], © ; previous try level 
push OFFSET FLAT:$SG74605 ; 'hello #1!' 

call printf 

add esp, 4 

mov eax, DWORD РТВ _p$[ebp] 

mov DWORD PTR [eax], 13 

push OFFSET FLAT:$SG74606 ; 'hello #2!' 

call printf 

add esp, 4 

mov DWORD РТК  $SEHRecļ$[ebp+20], -1 ; previous try level 


j 


, 


mp SHORT $L74616 


filter code: 


$L74617: 
$L74627: 
mov ecx, DWORD РТК  $SEHRec$[ebp+4] 
mov edx, DWORD PTR [ecx] 
mov eax, DWORD PTR [edx] 
mov DWORD PTR $T74621[ebp], eax 
mov eax, DWORD PTR $T74621[ebp] 
sub eax, —1073741819; c0000005H 


neg eax 
sbb eax, eax 
inc eax 

$L74619: 

$L74626: 
ret 0 


, 


handler code: 


$L74618: 
mov esp, DWORD PTR _ $SEHRecļ$[ebp] 
push OFFSET FLAT:$SG74608 ; 'ассеѕѕ violation, can''t гесоуег' 
call printf 
add esp, 4 


mov 


to -1 
$1 74616: 


DWORD РТА __$5ЕНКес$ [ерр+20], -1 ; setting previous try level back 
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хог еах, еах 
тоу ecx, DWORD РТК  $SEHRec$[ebp+8] 
mov DWORD РТА #5: ехсер* 1151, ecx 
pop edi 
pop esi 
pop ebx 
mov esp, ebp 
pop ebp 
ret 0 

_та1п ЕМОР 

_ТЕХТ ENDS 

END 


Здесь мы видим, как структура SEH конструируется в стеке. Scope table распо- 
ложена в сегменте CONST — действительно, эти поля не будут меняться. Инте- 
ресно, как меняется переменная previous {гу level. Исходное значение 0хЕЕЕЕЕЕЕЕ 
(-1). Момент, когда тело try открывается, обозначен инструкцией, записыва- 
ющей О в эту переменную. В момент, когда тело try закрывается, -1 возвра- 
щается в нее назад. Мы также видим адреса кода фильтра и обработчика. Так 
мы можем легко увидеть структуру конструкций try/except в функции 


Так как код инициализации ЅЕН-структур в прологе функций может быть об- 
щим для нескольких функций, иногда компилятор вставляет в прологе вызов 
функции ЅЕН рго109(), которая всё это делает. А код для деинициализации 
SEH в функции ЅЕН ері109(). 


Запустим этот пример в tracer: 


{гасег.ехе -1:2.ехе --dump-seh 


Листинг 6.28: {гасег.ехе output 


ЕХСЕРТІОМ№ АССЕ$$ VIOLATION at 2.ехе!таіп+0х44 (0х401054) 2 
S ЕхсерїіопІпҒогтаїіоп [9]=1 
ЕАХ=0х00000000 EBX=0x7efde000 ЕСХ=0х0040сЬс8 ЕрХ=0х0008е3с8 
Е51=0х00001а461 Ер1=0х00000000 ЕВР=0х0018Теас Е5Р=0х0018Те80 
Е1Р=0х00401054 
FLAGS=AF ТЕ ВЕ 
ж SEH frame at 0х18Те9с ргеу=0х18##78 һапа1ег=0х401204 (2.ехе! 2 
„ ехсерф һапд1ег3) 
ЅЕНЗ frame. previous trylevel=0 
scopetable entry[0]. previous try level=-1, filter=0x401070 (2.ехе!та1п+0/ 
S x60) handler=0x401088 (2.exe!main+0x78) 
ж SEH frame at 0x18ff78 prev=0x18ffc4 handler=0x401204 (2.ехе! 2 
5 ехсерї һапд1ег3) 
ЅЕНЗ frame. previous trylevel=0 
scopetable entry[0]. previous try level=-1, filter=0x401531 (2.ехе! 2 
„ mainCRTStartup+0x18d) handler=0x401545 (2.exe!mainCRTStartup+0x1la1) 
ж SEH frame at 0x18ffc4 prev=0x18ffe4 handler=0x771f71f5 (пет. ии 
„ _except_handler4) 
SEH4 frame. previous trylevel=0 
SEH4 header: GSCookie0ffset=0xfffffffe GSCookieXO0ROffset=0x0 
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EHCookie0ffset=0xffffffcc ЕНСоокіехово++#ѕеї=0х0 
scopetable епїгу[0]. previous try 1еуе1=-2, filter=0x771f74d0 (паі. 011! 2 
$ _ баРе зе һапд\ег +ар\1е+0х20) handler=0x771f90eb (ntdll.dll! 2 
S _ТррТегтіпатеРгосеѕ504+0х43) 
ж SEH frame at 0x18ffe4 prev=0xffffffff һапа1ег=0х77247428 (ntdll.dll! 2 
ъ _FinalExceptionHandler@16) 


Мы видим, что цепочка SEH состоит из 4-х обработчиков. 


Первые два расположены в нашем примере. Два? Но ведь мы же сделали толь- 
ко один? Да, второй был установлен в СВТ-функции mainCRTStartup(), и судя 
по всему, он обрабатывает как минимум исключения связанные с FPU. Его код 
можно посмотреть в инсталляции MSVC: crt/src/winxfltr.c. 


Третий это 5ЕН4 в пеаН.а!, и четвертый это обработчик, не имеющий отноше- 
ния к MSVC, расположенный в пЕаН.а|, имеющий «говорящее» название функ- 
ции. 


Как видно, в цепочке присутствуют обработчики трех типов: один не связан 
с MSVC вообще (последний) и два связанных с MSVC: ЅЕНЗ и SEH4. 


$ЕНЗ: пример с двумя блоками try/except 


#include <stdio.h> 
#include <windows .h> 
#include <excpt.h> 


int filter user exceptions (unsigned int code, struct _EXCEPTION_POINTERS ж, 


S ep) 
{ 
printf("in filter. code=0x%08X\n", code); 
if (code == 0x112233) 
{ 
printf("yes, that is our exception\n"); 
return EXCEPTION _ EXECUTE HANDLER; 
} 
else 
{ 
printf ("not our exception\n"); 
return EXCEPTION CONTINUE SEARCH; 
}; 
} 
int main() 
{ 
int» p = NULL; 
_ try 
{ 
_ try 
{ 


printf ("hello!\n"); 
RaiseException (0x112233, 0, 0, NULL); 
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printf ("0х112233 raised. пом let's сгазН\п"); 


жр = 13; // causes ап access violation exception; 
} 
_ except (GetExceptionCode ()==EXCEPTION_ACCESS_VIOLATION ? 
EXCEPTION EXECUTE HANDLER : EXCEPTION CONTINUE SEARCH) 
{ 
printf("access violation, can't recover\n"); 
} 


} 
_ except(filter user exceptions (GetExceptionCode(), к 
S GetExceptionInformation())) 


{ 
// the filter_user ехсерїіопѕ() function answering to the question 
// "15 this exception belongs to this block?" 
// if yes, do the follow: 
printf ("user exception caught\n"); 
} 


Теперь здесь два блока try. Так что scope table теперь содержит два элемента, 
один элемент на каждый блок. Previous try level меняется вместе с тем, как 
исполнение доходит до очередного їгу-блока, либо выходит из него. 


Листинг 6.29: MSVC 2003 


$5674606 ОВ ‘іп filter. соде=0х%08Х', бан, ӨӨН 
$5674608 ОВ 'уез, that is our exception', бан, ӨӨН 
$5674610 DB 'not our exception', бан, ӨӨН 
$5674617 DB 'hello!', бан, ӨӨН 
$5674619 DB '0х112233 raised. пом let''s crash', бан, ӨӨН 
$5674621 DB 'access violation, can''t recover', бан, ӨӨН 
$5674623 DB 'user exception caught', бан, Өөн 
_code$ = 8 ; size = 4 
_ер$ = 12 ; size = 4 
_filter_user_exceptions PROC NEAR 
push ebp 
mov ebp, esp 
mov eax, DWORD PTR _code$[ebp] 
push eax 


push OFFSET FLAT:$SG74606 ; 'in filter. code=0x%08X' 
call printf 

add esp, 8 

cmp DWORD PTR code$[ebp], 1122867; 00112233H 

jne SHORT $174607 

push OFFSET FLAT:$SG74608 ; 'yes, that is our exception' 
call printf 

add esp, 4 


mov eax, 1 
jmp SHORT $L74605 
$L74607: 


push OFFSET FLAT:$SG74610 ; 'not our exception' 
call printf 
add esp, 4 
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previous try level for outer block 
outer block filter 
outer block handler 
previous try level for inner block 
inner block filter 
inner block handler 


OFFSET FLAT: __except_handler3 
eax, DWORD PTR #5: ехсерї 1151 


DWORD РТА fs: _ except_list, esp 


DWORD PTR __$SEHRecļ$[ebp], esp 


xor eax, eax 
$L74605: 
pop ebp 
ret 0 
_Т ег изег ехсерїіопѕ ЕМОР 
; scope table: 
CONST SEGMENT 
$T74644 DD OffffffffH 
DD FLAT : $L74634 
DD FLAT : $L74635 
DD оон 
рр FLAT : $74638 
DD FLAT : $L74639 
CONST ENDS 
$T74643 = -36 ; size = 4 
$Т74642 = -32 ; 51те = 4 
_р$ = -28 ; 51те = 4 
__ $5ЕНВес$ = -24 ; size = 2 
_та1п РВОС МЕАК 
push ebp 
mov ebp, esp 
push -1 ; previous try level 
push OFFSET FLAT :$T74644 
push 
mov 
push eax 
mov 
add esp, -20 
push ebx 
push esi 
push edi 
mov 
mov DWORD PTR _p$[ebp], © 
mov 


mov 


push 
call 
add 
push 
push 
push 
push 
call 
push 
call 
add 
mov 
mov 
mov 


DWORD РТА  $SEHRecļ$[ebp+20], © ; outer try block entered. set 
previous try level to 0 
DWORD РТА  $SEHRec$[ebp+20], 1 ; inner try block entered. set 
previous try level to 1 
OFFSET ЕІАТ: $5674617 ; 'hello!' 
_printf 


esp, 


0 
0 


4 


1122867 ; 00112233Н 

DWORD PTR __1тр_ RaiseException@16 

OFFSET ЕІАТ: $5674619 ; '0x112233 raised. now let''s crash' 
_printf 


esp, 


4 


eax, DWORD PTR _p$[ebp] 
DWORD PTR [eax], 
DWORD РТА  $SEHRec$[ebp+20], © ; inner try block exited. set 
previous try level back to 0 


13 
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јтр 


SHORT $74615 


; inner block filter: 


$L74638: 
$L74650: 
mov 
mov 
mov 
mov 
mov 
sub 
neg 
sbb 
inc 
$L74640: 
$L74648: 
ret 


ecx, DWORD PTR _ $SEHRec$[ebp+4] 
edx, DWORD PTR [ecx] 

eax, DWORD PTR [edx] 

DWORD РТА $T74643[ebp], eax 

eax, DWORD PTR $T74643[ebp] 

eax, -1073741819; c0000005H 

eax 

eax, eax 

eax 


0 


; inner block handler: 


$1 74639: 
mov 
push 
call 
add 
mov 


esp, DWORD PTR _ $5ЕНВес$ [ебр] 

OFFSET FLAT:$SG74621 ; 'access violation, can''t recover' 
_printf 

esp, 4 

DWORD РТА  $SEHRec$[ebp+20], © ; inner try block exited. set 


previous try level back to 0 


$L74615: 
mov 


DWORD РТВ  $SEHRecļ$[ebp+20], -1 ; outer try block exited, set 


previous try level back to -1 


jmp 


SHORT $L74633 


; outer block filter: 


$L74634: 
$L74651: 
mov 
mov 
mov 
mov 
mov 
push 
mov 
push 
call 
add 
$L74636: 
$1 74649: 
ret 


ecx, DWORD РТА  $SEHRecļ$[ebp+4] 
edx, DWORD PTR [ecx] 

eax, DWORD PTR [edx] 

DWORD PTR $T74642[ebp], eax 

ecx, DWORD РТК  $SEHRec$[ebp+4] 
ecx 

edx, DWORD PTR $T74642[ebp] 

edx 

_filter_user_exceptions 

esp, 8 


0 


; outer block Пап Тег: 


$L74635: 
mov 
push 
call 


esp, DWORD PTR _ $5ЕНВес$ [ебр] 
OFFSET ЕІАТ: $5674623 ; 'user exception caught' 
_printf 
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ааа еѕр, 4 
mov DWORD РТА _ $SEHRec$[ebp+20], -1 ; both try blocks exited. set 
previous try level back to -1 
$L74633: 
xor eax, eax 
mov ecx, DWORD РТК  $SEHRec$[ebp+8] 
mov DWORD PTR #5: ехсерї 1151, ecx 


pop edi 
pop esi 
pop ebx 
mov esp, ebp 
pop ebp 
ret 0 
_та1п ЕМОР 


Если установить точку останова на функцию ргіпї? () вызываемую из обработ- 
чика, мы можем увидеть, что добавился еще один ЅЕН-обработчик. Наверное, 
это еще какая-то дополнительная механика, скрытая внутри процесса обра- 
ботки исключений. Тут мы также видим ѕсоре table состоящую из двух элемен- 
тов. 


їгасег.ехе —:3.ехе bpx=3.exe!printf --аитр-ѕеһ 


Листинг 6.30: {гасег.ехе output 


(0) 3.ехе ! рг1п 
ЕАХ=0х00000016 ЕВХ=0х00000000 ЕСХ=0х0040сс58 ЕрХ=0х0008е3с8 
Е51=0х00000000 Ер1=0х00000000 ЕВР=0х0018#840 Е5Р=0х00181838 
ЕІР=0х00401166 
FLAGS=PF ZF ТЕ 
ж SEH frame at 0x18f88c prev=0x18fe9c handler=0x771db4ad (ntdll.dll! 2 
S ExecuteHandler2@20+0x3a) 
ж SEH frame at 0x18fe9c prev=0x18ff78 handler=0x4012e0 (3.ехе! 2 
„ _except_handler3) 
SEH3 frame. previous trylevel=1 
scopetable entry[0]. previous try level=-1, filter=0x401120 (3.exe!main+0/7 
S xb0) handler=0x40113b (3.exe!main+0xcb) 
scopetable entry[1]. previous try level=0, filter=0x4010e8 (3.exe!main+0x787 
S ) handler=0x401100 (3.exe!main+0x90) 
ж SEH frame at 0x18ff78 prev=0x18ffc4 handler=0x4012e0 (3.ехе! 2 
„ _except_handler3) 
SEH3 frame. previous trylevel=0 
scopetable entry[0]. previous try level=-1, filter=0x40160d (3.ехе! 2 
„ mainCRTStartup+0x18d) handler=0x401621 (3.exe!mainCRTStartup+0x1a1) 
ж SEH frame at 0x18ffc4 prev=0x18ffe4 handler=0x771f71f5 (ntdll.dll! 2 
„ _except_handler4) 
SEH4 frame. previous trylevel=0 
SEH4 header: GSCookie0ffset=0xfffffffe GSCookieX0ROffset=0x0 
EHCookie0ffset=0xffffffcc EHCookieX0ROffset=0x0 
scopetable entry[0]. previous try level=-2, filter=0x771f74d0 (пїа11.а11!/ 
$ _ safe_se_handler_table+0x20) handler=0x771f90eb (паі. а11! 2 
S _TppTerminateProcess@4+0x43) 
ж SEH frame at 0x18ffe4 prev=0xffffffff handler=0x77247428 (ntdll.dll! 2 
ъ _FinalExceptionHandler@16) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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ЅЕН4 


Во время атаки переполнения буфера (1.26.2 (стр. 347)) адрес scope table mo- 
жет быть перезаписан, так что начиная с MSVC 2005, ЅЕНЗ был дополнен 3a- 
щитой от переполнения буфера, до SEH4. Указатель на scope table теперь npo- 
ХОВ-ен с security cookie. 


Scope table расширена, теперь имеет заголовок, содержащий 2 указателя на 
security cookies. Каждый элемент имеет смещение внутри стека на другое 3Ha- 
чение: это адрес фрейма (ЕВР) также про-ХОВ-еный с ѕесигіїу соокіе распо- 
ложенный в стеке. Это значение будет прочитано во время обработки исклю- 
чения и проверено на правильность. 


Security cookie в стеке случайное каждый раз, так что атакующий, как мы Ha- 
деемся, не может предсказать его. 


Изначальное значение previous try level это -2 в $ЕН4 вместо -1. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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ТІВ Stack 


+0: _except list 
+8: ... 


таблица ѕсоре 


смещение GS Cookie 
смещение GS Cookie 
XOR 

смещение EH Cookie 


смещение EH Cookie 
XOR 


таблица scope 
ОхЕЕЕЕЕЕЕЕ (-1) өѕесигіќу соокіе 
информация для предыдущий уро- 
первого блока функция-фильтр вень {гу 
{гу/ехсере 
функция- ЕВР 
обработчик/Япайу- 
информация для 
второго блока функция-фильтр Г - | 
{гу/ехсере 


функция- 
обработчик/Япайу- 


обработчик 


информация для 
третьего блока функция-фильтр 
{гу/ехсере 


функция- 
обработчик/Япайу- 
обработчик 


... остальные 
элементы аже 


Оба примера скомпилированные в MSVC 2012 с ЅЕН4 
Листинг 6.31: MSVC 2012: опе try block example 


функция- 
обработчик 


функция- 
обработчик 


_except_handler4 


$5685485 DB 'hello #1!', Фан, OOH 
$5685486 DB 'hello #2!', Оан, OOH 
$5685488 DB 'access violation, can''t recover', бан, OOH 


; scope table: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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xdata$x 
__ sehtabl 


DD 


-36 
_р$ = -32 
tv68 = -2 
__ $5ЕНВес 
_та1п 
push 
mov 
push 
push 
push 
mov 
push 
add 
push 
push 
push 
mov 
xor 
xor 
push 
lea 


BSA 

H 

N 
ШИП 


SEGMENT 

е$ main DD OfffffffeH ; GS Cookie Offset 
оон ; GS Cookie XOR Offset 
OffffffccH ; EH Cookie Offset 
оон ; ЕН Cookie XOR Offset 
OfffffffeH ; previous try level 


FLAT:$LN12@main ; filter 
FLAT:$LN8@main ; handler 


ENDS 
; size = 4 
; size = 4 
8 ; 5іге = 4 
$ = -24 ; size = 24 
PROC 
ebp 
ebp, esp 
—2 


OFFSET __ sehtable$_ main 

OFFSET except_handler4 

eax, DWORD PTR fs:0 

eax 

esp, -20 

ebx 

esi 

edi 

eax, DWORD PTR security cookie 

DWORD РТА __$5ЕНКес$ [ерр+16], eax ; xored pointer to scope table 
eax, ebp 

eax ; ebp ^ security cookie 
eax, DWORD PTR $SEHRecļ$[ebp+8] ; 


pointer to VC EXCEPTION REGISTRATION RECORD 


mov DWORD PTR fs:0, eax 
mov DWORD РТК  $SEHRecļ$[ebp], esp 
mov DWORD PTR _p$[ebp], ө 
mov DWORD РТА  $SEHRecļ$[ebp+20], © ; previous try level 
push OFFSET $5685485 ; 'hello #1!' 
call printf 
add esp, 4 
mov eax, DWORD PTR _p$[ebp] 
mov DWORD PTR [eax], 13 
push OFFSET $5685486 ; 'hello #2!' 
call printf 
add esp, 4 
mov DWORD РТА  $SEHRec$[ebp+20], -2 ; previous try level 
jmp SHORT $LN6@main 
; filter: 
$LN7@main: 
$LN12@main: 
mov ecx, DWORD РТА  $SEHRecļ$[ebp+4] 
mov edx, DWORD PTR [ecx] 
mov eax, DWORD PTR [edx] 
mov DWORD PTR $T2[ebp], eax 
Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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стр DWORD РТА $Т2[ебр], -1073741819 ; с0000005Н 
јпе SHORT $LN4@main 
mov DWORD PTR tv68[ebp], 1 
jmp SHORT $LN5@main 
$LN4@main: 
mov DWORD PTR tv68[ebp], 0 
$LN5@main: 
mov eax, DWORD PTR tv68[ebp] 
$LN9@main: 
$LN11@main: 
ret 0 
; handler: 
$LN8@main: 
mov esp, DWORD PTR  $SEHRecļ$[ebp] 
push OFFSET $5685488 ; 'ассеѕѕ violation, can''t recover' 
call printf 
add esp, 4 
mov DWORD РТА _ $SEHRec$[ebp+20], -2 ; previous try level 
$LN6@main: 
xor eax, eax 
mov ecx, DWORD РТА  $SEHRec$[ebp+8] 
mov DWORD PTR fs:0, ecx 
pop ecx 
pop edi 
pop esi 
pop ebx 
mov esp, ebp 
pop ebp 
ret 0 
_та1п ЕМОР 
Листинг 6.32: MSVC 2012: two {гу blocks example 
$5685486 ОВ ‘іп filter. соде=0х%08Х', бан, ӨӨН 
$5685488 DB 'yes, that is our ехсертіоп', бан, ӨӨН 
$5685490 DB 'not our exception', бан, ӨӨН 
$5685497 DB 'hello!', бан, ӨӨН 
$5685499 DB '0х112233 raised. пом let''s crash', бан, ӨӨН 
$5685501 DB 'access violation, can''t recover', бан, ӨӨН 
$5685503 DB 'user exception caught', бан, ӨӨН 
xdata$x SEGMENT 
_ sehtable$_main DD OfffffffeH ; GS Cookie Offset 
DD оон ; GS Cookie XOR Offset 
DD Offffffc8H ; EH Cookie Offset 
DD оон ; ЕН Cookie Offset 
00 OfffffffeH ; previous try level for outer block 
DD FLAT:$LN19@main ; outer block filter 
DD FLAT:$LN9@main ; outer block handler 
DD оон ; previous try level for inner block 
DD FLAT:$LN18@main ; inner block filter 
DD FLAT:$LN13@main ; inner block handler 
xdata$x ENDS 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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$Т2 = -40 ; size = 4 
$ТЗ = -36 ; size = 4 
_р$ = -32 ; $12е = 4 
1У72 = -28 ; size = 4 
__$5ЕНВес$ = -24 ; size = 24 
_таіп PROC 
push ebp 
mov ebp, esp 
push -2 ; initial previous try level 


push OFFSET _ sehtable$_ main 
push OFFSET except_handler4 
mov eax, DWORD PTR fs:0 

push eax ; prev 

add esp, -24 


push ebx 

push esi 

push edi 

mov eax, DWORD РТВ security cookie 

xor DWORD РТК  $SEHRecļ$[ebp+16], eax ; xored pointer to scope 
к еах, ебр ; ebp ^ ѕесигіїу соокіе 
push eax 


lea eax, DWORD PTR __$5ЕНКес$ [еб р+8] Е 

pointer to УС ЕХСЕРТТОМ REGISTRATION RECORD 

mov DWORD PTR fs:0, eax 

mov DWORD РТВ  $SEHRec$[ebp], esp 

mov DWORD PTR _p$[ebp], © 

mov DWORD РТА _ $SEHRec$[ebp+20], © ; entering outer try block, 
setting previous try level=0 

mov DWORD РТА  $SEHRec$[ebp+20], 1 ; entering inner try block, 
setting previous try level=1 

push OFFSET $5685497 ; 'hello!' 

call printf 


add esp, 4 
push 0 
push 0 
push 0 


ри5һ 1122867 ; 00112233H 

call DWORD РТВ __1тр_ Ка1<еЕхсерї1оп@16 

push OFFSET $5685499 ; '0х112233 raised. now let''s crash' 

call ргіпї? 

add esp, 4 

mov eax, DWORD РТВ _p$[ebp] 

mov DWORD PTR [eax], 13 

mov DWORD РТА  $SEHRec$[ebp+20], © ; exiting inner try block, set 
previous try level back to 0 

jmp SHORT $LN2@main 


; inner block filter: 

$LN12@main: 

$LN18@main: 
mov ecx, DWORD РТА  $SEHRec$[ebp+4] 
mov edx, DWORD PTR [ecx] 
mov eax, DWORD PTR [edx] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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mov DWORD PTR $T3[ebp], eax 

cmp DWORD PTR $T3[ebp], -1073741819 ; c0000005H 

jne SHORT $LN5@main 

mov DWORD PTR tv72[ebp], 1 

jmp SHORT $LN6@main 
$LN5@main: 

mov DWORD PTR tv72[ebp], 0 
$LN6@main: 

mov eax, DWORD PTR tv72[ebp] 
$LN14@main: 
$LN16@main: 

ret 0 


; inner block handler: 
$LN13@main: 
mov esp, DWORD PTR $SEHRec$[ebp] 
push OFFSET $5685501 ; 'ассеѕѕ violation, can''t recover' 
call printf 
add esp, 4 
mov DWORD РТК  $SEHRec$[ebp+20], © ; exiting inner try block, setting 
previous try level back to 0 
$LN2@main: 
mov DWORD РТК  $SEHRec$[ebp+20], -2 ; exiting both blocks, setting 
previous try level back to -2 
jmp SHORT $LN7@main 


; outer block filter: 
$LN8@main: 
$LN19@main: 
mov ecx, DWORD РТА  $SEHRec$[ebp+4] 
mov edx, DWORD PTR [ecx] 
mov eax, DWORD PTR [edx] 
mov DWORD PTR $T2[ebp], eax 
mov ecx, DWORD РТВ  $SEHRecļ$[ebp+4] 


push ecx 
mov edx, DWORD PTR $T2[ebp] 
push edx 
call filter user exceptions 
add esp, 8 

$LN10@main: 

$LN17@main: 
ret 0 


; outer block Пап Тег: 
$LN9@main: 
mov esp, DWORD РТК _ $5ЕНКВес$ [е бр] 
push OFFSET $5685503 ; ‘изег exception caught' 
call printf 
add esp, 4 
mov DWORD РТК  $SEHRec$[ebp+20], -2 ; exiting both blocks, setting 
previous try level back to -2 
$LN7@main: 
xor eax, eax 
mov ecx, DWORD РТВ  $SEHRec$[ebp+8] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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mov DWORD PTR fs:0, ecx 


pop ecx 
pop edi 
pop esi 
pop ebx 
mov esp, ebp 
pop ebp 
ret 0 
_та1п ЕМОР 
_сойе$ = 8 ; 5127е = 4 
_ер$ = 12 ; 51те = 4 
_Т ег изег ехсерїіопѕ PROC 
push ebp 
mov ebp, esp 
mov eax, DWORD PTR _code$[ebp] 
push eax 


push OFFSET $5685486 ; 'in filter. code=0x%08X' 
call printf 
add esp, 8 
cmp DWORD PTR code$[ebp], 1122867 ; 00112233H 
jne SHORT $LN2@filter use 
push OFFSET $5685488 ; 'yes, that is our exception' 
call printf 
add esp, 4 
mov eax, 1 
jmp SHORT $LN3@filter use 
jmp SHORT $LN3@filter use 
$LN2@filter use: 
push OFFSET $5685490 ; 'not our exception' 
call printf 
add esp, 4 


xor eax, eax 
$LN3@filter use: 
pop ebp 
ret 0 


_Т ег изег ехсерїіопѕ ЕМОР 


Вот значение cookies: Cookie Offset это разница между адресом записанно- 
го в стеке значения EBP и значения ЕВР ө security_cookie в стеке. Cookie XOR 
Offset это дополнительная разница между значением ЕВР ө security_cookie И 
тем что записано в стеке. Если это уравнение не верно, то процесс остановит- 
ся из-за разрушения стека: 


ѕеситіћу соокіе © (СоомеХ ОВО } } set + address_of_saved_EBP) == 
stack|address_of_saved_EBP + CookieOf fset] 


Если Cookie Offset равно -2, это значит, что оно не присутствует. 


Windows x64 


Как видно, это не самая быстрая штука, устанавливать ЅЕН-структуры B каж- 
дом прологе функции. Еще одна проблема производительности — это менять 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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переменную previous try level много раз в течении исполнении функции. Так 
что в X64 всё сильно изменилось, теперь все указатели на їгу-блоки, функ- 
ции фильтров и обработчиков, теперь записаны в другом РЕ-сегменте . раѓа, 
откуда обработчик исключений ОС берет всю информацию. 


Вот два примера из предыдущей секции, скомпилированных для x64: 


Листинг 6.33: MSVC 2012 


$5686276 ОВ 'hello #1!', бан, ӨӨН 
$5686277 ОВ 'hello #2!', бан, ӨӨН 
$5686279 DB 'access violation, сап''+ гесомег', бан, 00Н 


pdata SEGMENT 
$pdata$main DD ітадеге1 $LN9 


DD imagerel $LN9+61 
DD imagerel $unwind$main 
pdata ENDS 


pdata SEGMENT 
$pdata$main$filt$0 DD imagerel main$filt$0 


DD imagerel main$filt$0+32 
DD imagerel $unwind$main$filt$0 
pdata ENDS 


xdata SEGMENT 
$unwind$main DD 020609H 


DD 030023206H 
DD imagerel _ С specific_handler 
DD 01H 
DD imagerel $LN9+8 
DD imagerel $LN9+40 
DD imagerel main$filt$0 
DD imagerel $LN9+40 
фипміпафтаіпф#11+$0 00 020601H 
DD 050023206H 
xdata ENDS 
_TEXT SEGMENT 
main PROC 
Ф.М: 
push rbx 
sub rsp, 32 
xor ebx, ebx 
lea rcx, OFFSET FLAT:$SG86276 ; 'hello #1!' 
call printf 
mov DWORD PTR [rbx], 13 
lea rcx, OFFSET ЕГАТ:$5686277 ; 'hello #2!' 
call printf 
jmp SHORT $LN8@main 
$LN6@main: 
lea rcx, OFFSET ЕЁАТ: $5686279 ; 'access violation, can''t 
recover ' 


call printf 

npad 1 ; align next label 
$LN8@main: 

xor eax, eax 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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ааа rsp, 32 
рор rbx 
ret 0 

main ENDP 

_ TEXT ENDS 


text$x SEGMENT 
main$filt$0 PROC 


push rbp 

sub rsp, 32 

mov rbp, rdx 
$LN5@main$filt$: 

mov гах, QWORD PTR [rcx] 

xor ecx, ecx 

cmp DWORD PTR [rax], -1073741819; c0000005H 

sete cl 

mov eax, ecx 
$LN7@main$filtş$: 

add rsp, 32 

pop rbp 

ret 0 

int 3 


main$filt$0 ENDP 
text$x ENDS 


Листинг 6.34: MSVC 2012 


$5686277 DB ‘іп filter. code=0x%08X', бан, ӨӨН 

$5686279 DB 'yes, that is our exception', бан, 00ӨН 
$5686281 DB 'not our exception', бан, Өөн 

$5686288 DB 'hello!', бан, Өөн 

$5686290 DB '0х112233 raised. пом 1еї''5 сгаѕһћ', дан, ӨӨН 
$5686292 DB 'ассеѕ5 violation, can''t гесомег', дан, ӨӨН 
$5686294 DB 'user exception caught', бан, Өөн 


pdata SEGMENT 
$pdata$filter_ user exceptions DD imagerel $LN6 


DD imagerel $LN6+73 

DD imagerel $unwind$filter user exceptions 
$pdata$main DD ітадеге1 $LN14 

DD imagerel $LN14+95 

DD imagerel $unwind$main 
pdata ENDS 


pdata SEGMENT 
$pdata$main$filt$0 DD imagerel main$filt$0 


DD imagerel main$filt$0+32 

DD imagerel $unwind$main$filt$0 
$pdata$main$filt$1 DD imagerel main$filt$1 

DD imagerel main$filt$1+30 

DD imagerel $unwind$main$filt$1 
pdata ENDS 


xdata SEGMENT 
$unwind$filter user exceptions 00 020601H 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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'hello!' 


'0х112233 raised. now let''s 


'access violation, can''t 


'user exception caught' 


DD 030023206H 
$unwind$main DD 020609H 
DD 030023206H 
DD imagerel _ С specific_handler 
DD 02H 
DD imagerel $LN14+8 
DD imagerel $LN14+59 
DD imagerel main$filt$0 
DD imagerel $LN14+59 
DD imagerel $LN14+8 
DD imagerel $LN14+74 
DD imagerel main$filt$1 
DD imagerel $LN14+74 
фипміпафтаіпф#11+$0 00 020601H 
DD 050023206H 
$unwind$main$ġfilt$1 DD 020601H 
DD 050023206H 
xdata ENDS 
_TEXT SEGMENT 
main PROC 
$LN14: 
push rbx 
sub rsp, 32 
xor ebx, ebx 
lea rcx, OFFSET FLAT:$SG86288 ; 
call printf 
xor r9d, r9d 
xor r8d, r8d 
xor edx, edx 
mov ecx, 1122867 ; 00112233H 
call QWORD PTR _imp_RaiseException 
lea rcx, OFFSET FLAT:$SG86290 ; 
crash' 
ca printf 
mov DWORD PTR [rbx], 13 
jmp SHORT $LN13@main 
$LN11@main: 
lea rcx, OFFSET FLAT:$SG86292 ; 
recover ' 
ca printf 
npad 1 ; align next label 
$LN13@main: 
jmp SHORT $LN9@main 
$LN7@main: 
lea rcx, OFFSET FLAT:$SG86294 ; 
call printf 
npad 1 ; align next label 
$LN9@main: 
xor eax, eax 
add rsp, 32 
pop rbx 
ret 0 
main ENDP 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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text$x SEGMENT 
main$filt$0 PROC 


push rbp 

sub rsp, 32 

mov rbp, rdx 
$LN10@main$filt$: 

mov rax, QWORD PTR [rcx] 

xor ecx, ecx 

cmp DWORD PTR [rax], -1073741819,; 

sete cl 

mov eax, ecx 
$LN12@main$filt$: 

add rsp, 32 

pop rbp 

ret 0 

int 3 


main$filt$0 ENDP 


main$filt$1 PROC 


push rbp 
sub rsp, 32 
mov rbp, rdx 
$ Мб@таіпф#і1+$: 
mov гах, QWORD PTR [rcx] 
mov rdx, rcx 
mov ecx, DWORD PTR [rax] 
call filter _user_exceptions 
npad 1 ; align next label 
$LN8@main$filtş$: 
add rsp, 32 
pop rbp 
ret 0 
int 3 
main$filt$1 ENDP 
text$x ENDS 
_TEXT SEGMENT 
code$ = 48 
ep$ = 56 
filter_user_exceptions PROC 
$LN6: 
push rbx 
sub rsp, 32 
mov ebx, ecx 
mov edx, ecx 
lea rcx, OFFSET FLAT:$SG86277 ; 
call printf 
cmp ebx, 1122867; 00112233H 
jne SHORT $LN2@filter use 
lea rcx, OFFSET ЕЁАТ: $5686279 ; ' 
call printf 
mov eax, 1 


'in filter. 


c0000005H 


code=0x%08X ' 


yes, that is our exception' 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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ааа rsp, 32 

рор грх 

геї 0 
$LN2@filter use: 

lea rcx, OFFSET ЕЁАТ: $5686281 ; 'not our exception' 

call printf 

xor eax, eax 

add rsp, 32 

pop rbx 

ret 0 
111%ег иѕег ехсерііопѕ ЕМОР 
_ТЕХТ ENDS 


Смотрите [Igor Ѕкосһіпѕку, Compiler Internals: Exceptions апа ВТТ/, (2012)] 48 для 
более детального описания. 


Помимо информации об исключениях, секция . pdata также содержит начала 
и концы почти всех функций, так что эту информацию можно использовать в 
каких-либо утилитах, предназначенных для автоматизации анализа. 


Больше о ЅЕН 


[Matt Pietrek, А Crash Course оп the Depths of Win32™ Structured Exception Handling, 
(1997)]*°, дог Skochinsky, Compiler Internals: Exceptions and RTTI, (2012)] 55. 


6.5.4. Windows МТ: Критические секции 


Критические секции в любой ОС очень важны в мультитредовой среде, ис- 
пользуются в основном для обеспечения гарантии что только один тред будет 
иметь доступ к данным в один момент времени, блокируя остальные треды и 
прерывания. 


Вот как структура CRITICAL SECTION объявлена в линейке OS Windows МТ: 


Листинг 6.35: (Windows Research Kernel v1.2) public/sdk/inc/nturtl.h 


typedef struct RTL CRITICAL SECTION { 
РАТ СВТТТСАЕ SECTION DEBUG DebugInfo; 


// 

// The following three fields control entering апа exiting the critical 
// section for the resource 

// 


LONG LockCount; 
LONG RecursionCount; 
HANDLE OwningThread; // from the thread's ClientId->UniqueThread 


48Также доступно здесь: http://yurichev.com/mirrors/RE/Recon-2012-Skochinsky-Compiler-Internals. 
рат 

49Также доступно здесь: һр: / /имм.тісгоѕоҒ+. сот/тѕ ј /0197/Ехсерііоп/Ехсер+іоп.аѕрх 

50Также доступно здесь: һїїр: / /уигісһеу. сот/тіггогѕ /ВЕ/Весоп- 2012 - ЅКосһіпѕКу- Сотрі1ег- Іпёегпа1ѕ. 
рат 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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HANDLE Госкбетарћоге; 
ULONG _ РТА ЅріпСоипї; // force size оп 64-61% systems when packed 
} АТ CRITICAL _ SECTION, *PRTL_CRITICAL SECTION; 


Вот как работает функция EnterCriticalSection(): 


Листинг 6.36: Windows 2008/ntdll.dll/x86 (begin) 


_RtlEnterCriticalSection@4 


var C = dword ptr -0Ch 
var 8 = dword ptr -8 
var 4 = dword ptr -4 
arg 0 = dword ptr 8 
mov edi, edi 
push ebp 
mov ebp, esp 
sub esp, OCh 
push esi 
push edi 
mov edi, [ebp+arg_0] 
lea esi, [edi+4] ; LockCount 
mov eax, esi 
lock btr dword ptr [eax], 0 
jnb wait ; jump if CF=0 
loc 70Е92200: 
mov eax, large fs:18h 
mov ecx, [eax+24h] 
mov [edi+0Ch], ecx 
mov dword ptr [edi+8], 1 
pop edi 
xor eax, eax 
pop esi 
mov esp, ebp 
pop ebp 
retn 4 


. Skipped 


Самая важная инструкция в этом фрагменте кода — это ВТК (с префиксом 
LOCK): нулевой бит сохраняется в флаге СЕ и очищается в памяти . Это ато- 
марная операция, блокирующая доступ всех остальных процессоров к этому 
значению в памяти (обратите внимание на префикс LOCK перед инструкцией 
ВТК. 


Если бит в LockCount является 1, хорошо, сбросить его и вернуться из функции: 
мы в критической секции. Если нет — критическая секция уже занята другим 
тредом, тогда ждем. 

Ожидание там сделано через вызов WaitForSingleObject(). 


А вот как работает функция LeaveCriticalSection(): 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Листинг 6.37: Windows 2008/ntdll.dll/x86 (begin) 


_RtlLeaveCriticalSection@4 proc near 


агд 0 = dword ptr 8 
mov edi, edi 
push ebp 
mov ebp, esp 
push esi 
mov esi, [ebp+arg_0] 
add dword ptr [esi+8], OFFFFFFFFh ; RecursionCount 
jnz short loc 70Е922В2 
push ebx 
push edi 
lea edi, [esi+4] ; LockCount 
mov dword ptr [esi+0Ch], 0 
mov ebx, 1 
mov eax, edi 
lock xadd [eax], ebx 
inc ebx 
cmp ebx, OFFFFFFFFh 
jnz loc_7DEA8EB7 
loc 70Е922В0: 
pop edi 
pop ebx 
loc_7DE922B2: 
xor eax, eax 
pop esi 
pop ebp 
retn 4 


skipped 


XADD это «обменять и прибавить». В данном случае, это значит прибавить 1 к 
значению в LockCount, при этом сохранить изначальное значение ГоскСоипї 
в регистре ЕВХ. Впрочем, значение в ЕВХ позже инкрементируется при помо- 
щи последующей инструкции INC EBX, и оно также будет равно обновленному 
значению LockCount. 


Эта операция также атомарная, потому что также имеет префикс LOCK, что 
означает, что другие СРО или ядра СРО в системе не будут иметь доступа к 
этой ячейке памяти. 


Префикс LOCK очень важен: два треда, каждый из которых работает на разных 
СРО или ядрах СРО, могут попытаться одновременно войти в критическую сек- 
цию, одновременно модифицируя значение в памяти, и это может привести к 
непредсказуемым результатам. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


Глава 7 


Инструменты 


7.1. Дизассемблеры 


7.1.1. IDA 
Старая бесплатная версия доступна для скачивания +. 


Краткий справочник горячих клавиш: .6.1 (стр. 1311) 


7.2. Отладчики 


7.2.1. OllyDbg 


Очень популярный отладчик пользовательской среды міп32: ollydbg.de. 


Краткий справочник горячих клавиш: .6.2 (стр. 1311) 


7.2.2. СОВ 
Не очень популярный отладчик у реверсеров, тем не менее, крайне удобный. 


Некоторые команды: .6.5 (стр. 1312). 


7.2.3. їгасег 


Автор часто использует їгасег 2 вместо отладчика. 


Со временем, автор этих строк отказался использовать отладчик, потому что 
всё что ему нужно от него это иногда подсмотреть какие-либо аргументы какой- 
либо функции во время исполнения или состояние регистров в определенном 


1пех-гауѕ.сот/ргойисіѕ/іда/ѕиррогі/дӢомпіоаа їгеемаге.ѕһіті 
2уџгісһеу.сот 
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месте. Каждый раз загружать отладчик для этого это слишком, поэтому роди- 
лась очень простая утилита tracer. Она консольная, запускается из командной 
строки, позволяет перехватывать исполнение функций, ставить точки остано- 
ва на произвольные места, смотреть состояние регистров, модифицировать 
их, ит. д. 


Но для учебы очень полезно трассировать код руками в отладчике, наблю- 
дать как меняются значения регистров (например, как минимум классический 
SoftICE, OllyDbg, WinDbg подсвечивают измененные регистры), флагов, данные, 
менять их самому, смотреть реакцию, и т. д. 


7.3. Трассировка системных вызовов 


strace / аёгиѕѕ 


Позволяет показать, какие системные вызовы (syscalls(6.3 (стр. 958))) прямо 
сейчас вызывает процесс. 


Например: 


# strace df -h 


access("/etc/ld.so.nohwcap", Е ОК) = -1 ЕМОЕМТ (№ such file ог кр 
s directory) 

open ("/lib/i386-linux-gnu/libc.so.6", 0_ВООМЕУ|0_СЕОЕХЕС) = 3 

геаа (3, "\177ELF р 


S \1\1\1\®Ө\@\®\0@\0\0@\0@\0\@\З\®@\З\®@\1\0\0\0\220\232\1\0004\0\0\0"...,‚, 2 
ъ 512) = 512 
fstat64(3, {51 тойе=5 ІҒВЕС |0755, 51 517е=1770984, ...}) = 0 


ттар2 (NULL, 1780508, РАКОТ ВЕАР | РАКОТ ЕХЕС, МАР РАІМАТЕ | МАР РЕМҮМВІТЕ, 3, 0) 2 
„ = 0xb75b3000 


В Мас OS X для этого же имеется dtruss. 


В Cygwin также есть strace, впрочем, насколько известно, он показывает pe- 
зультаты только для .ехе-файлов скомпилированных для среды самого cygwin. 


7.4. Декомпиляторы 


Пока существует только один публично доступный декомпилятор в Си высоко- 
го качества: Нех-Вауѕ: ћех-гауѕ.сот/ргоаисіѕ/даесотрііег/ 


Читайте больше о нем: 10.9 (стр. 1257). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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7.5. Прочие инструменты 


e Microsoft Visual Studio Ехргеѕ52: Усеченная бесплатная версия Visual Studio, 
пригодная для простых экспериментов. Некоторые полезные опции: .6.3 
(стр. 1312). 


• Нем“: для мелкой модификации кода в исполняемых файлах. 


• binary grep: небольшая утилита для поиска констант (либо просто nocne- 
довательности байт) в большом количестве файлов, включая неисполня- 
emble: GitHub. В гада.ге имеется также гаїпа2 для тех же целей. 


7.5.1. Калькуляторы 


Хороший калькулятор для нужд реверс-инженера должен поддерживать как 
минимум десятичную, шестнадцатеричную и двоичную системы счисления, а 
также многие важные операции как “исключающее ИЛИ” и сдвиги. 


• ВІРА есть встроенный калькулятор (“?”). 
• В гада.ге есть гах2. 
e Пре: //уигісһеу. сот/ргодса1с/ 


• Стандартный калькулятор в Windows имеет режим программистского каль- 
кулятора. 


7.6. Чего-то здесь недостает? 


Если вы знаете о хорошем инструменте, которого не хватает здесь в этом спис- 
ке, пожалуйста сообщите мне об этом: 
мои адреса. 


3visualstudio.com/en-US/products/visual-studio-express-vs 
thiew.ru 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


Глава 8 


Примеры из практики 


Вместо эпиграфа: 


Питер Сейбел: Как вы читаете исходный код? Ведь непросто 
читать даже то, что написано на известном вам языке программи- 
рования. 

Дональд Кнут: Но это действительно того стоит, если гово- 
рить о том, что выстраивается в вашей голове. Как я читаю код? 
Когда-то была машина под названием Bunker Вато 300, и кто-то 
мне однажды сказал, что компилятор Фортрана для этой машины 
работает чрезвычайно быстро, но никто не понимает почему. Я за- 
получил копию его исходного кода. У меня не было руководства 
по этому компьютеру, поэтому я даже не был уверен, какой это 
был машинный язык. 

Но я взялся за это, посчитав интересной задачей. Я нашел 
BEGIN и начал разбираться. В кодах операций есть ряд двухбук- 
венных мнемоник, поэтому я мог начать анализировать: “Возмож- 
но, это инструкция загрузки, а это, возможно, инструкция перехо- 
да”. Кроме того, я знал, что это компилятор Фортрана, и иногда 
он обращался к седьмой колонке перфокарты - там он мог опре- 
делить, комментарий это или нет. 

Спустя три часа я кое-что понял об этом компьютере. Затем 
обнаружил огромные таблицы ветвлений. То есть это была своего 
рода головоломка, и я продолжал рисовать небольшие схемы, как 
разведчик, пытающийся разгадать секретный шифр. Но я знал, 
что программа работает, и знал, что это компилятор Фортрана — 
это не был шифр, в том смысле что программа не была написана 
с сознательной целью запутать. Все дело было в коде, поскольку 
у меня не было руководства по компьютеру. 

В конце концов мне удалось выяснить, почему компилятор ра- 
ботал так быстро. К сожалению, дело было не в гениальных алго- 
ритмах - просто там применялись методы неструктурированного 
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программирования и код был максимально оптимизирован вруч- 
ную. 

По большому счету, именно так и должна решаться головолом- 
ка: составляются таблицы, схемы, информация извлекается по 
крупицам, выдвигается гипотеза. В общем, когда я читаю техни- 
ческую работу, это такая же сложная задача. Я пытаюсь влезть в 
голову автора, понять, в чем состоял его замысел. Чем больше вы 
учитесь читать вещи, написанные другими, тем более способнь 
изобретать что-то свое - так мне кажется. 


( Сейбел Питер — Кодеры за работой. Размышления о ремесле программиста } 


8.1. Шутка с Маджонгом (Windows 7) 


Маджонг это замечательная игра, однако, можем ли мы усложнить её, запре- 
тив пункт меню Hint (подсказка)? 


В Windows 7, я могу найти файлы Маћһјопд.а!! и Маһјопд.ехе в: 

С: \Міпаомѕ\міпѕхѕ\ 

х86 тісгоѕо+Тї -міпаомѕ -5. . іпрохдатеѕ -ѕһапоһаі 3160#385баай3б4е35 6.1.7600 
с07а51950749398. 


Также, файл Маһјопд.ехе. тиі в: 

С: \Міпаомѕ\міпѕхѕ\ 

х86 тісгоѕоТї -міпаомѕ-5. . -ѕ5һапдһаі. геѕоигсеѕ 3160#385баа3б4е35 6.1.7600 
_с430954533с66 53 


ив 


C:\Windows\winsxs\ 
x86 _ microsoft-windows-s..-shanghai.resources_31bf3856ad364e35_6.1.7600 
_0d51lacf984cb679a. 


Я использую англоязычную Windows, но с поддержкой русского языка, так что 
тут могут быть файлы ресурсов для двух языков. Открыв файл Маһјопд.ехе. ти! 
в Resource Hacker, можно увидеть определения меню: 


Листинг 8.1: Ресурсы меню в Маһјопд.ехе. тиі 


193 МЕМУ 
LANGUAGE АМС ЕМСбЕТЬН, SUBLANG ЕМСЕТЬН 1$ 


POPUP "&бате" 

{ 
MENUITEM "&Мем Сате\+Е2", 40000 
MENUITEM SEPARATOR 
MENUITEM "&Undo\tCtrl+Z", 40001 
MENUITEM "&Hint\tH", 40002 
MENUITEM SEPARATOR 
MENUITEM "&Statistics\tF4", 40003 
MENUITEM "&0ptions\tF5", 40004 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


.16385 попе\ 


.16385 еп-иѕ 


.16385 ги-ги 


1019 


MENUITEM "Change &Арреагапсе\Е7", 40005 
MENUITEM SEPARATOR 
MENUITEM "E&xit", 40006 

} 

POPUP "&Help" 

{ 
MENUITEM "&View Help\tF1", 40015 
MENUITEM "&About Mahjong Titans", 40016 
MENUITEM SEPARATOR 
MENUITEM "Get &More Games Online", 40020 


Подменю Hint имеет код 40002. Открываю Mahjong.exe в IDA и ищу значение 
40002. 


(Я пишу это в ноябре 2019. Почему-то, ІрА не может выкачать РОВ-файлы с 
серверов Microsoft. Может быть, Windows 7 больше не поддерживается? Так 
или иначе, имен ф-ций я не смог установить...) 


Листинг 8.2: Маһјопд.ехе 


.1ехї:010205С8 6A 03 push 3 
.text:010205CA 85 FF test edi, edi 
.text:010205CC 5B pop ebx 
.text:01020625 57 push edi ; uIDEnableItem 
.text:01020626 FF 35 C8 97 08 01 push hmenu ; hMenu 
.text:0102062C FF D6 call esi ; EnableMenuItem 
.text:0102062E 83 7D 08 01 cmp [ebp+arg_0], 1 
.text:01020632 BF 42 9C 00 00 mov edi, 40002 
.text:01020637 75 18 jnz short loc_1020651 ; переход должен 
быть всегда 
.Хехї:01020639 6A 00 push 0 ; ЧЕпаб1е 
.Хехї:0102063В 57 push edi ; uIDEnableItem 
.text:0102063C FF 35 B4 8B 08 01 push hMenu ; hMenu 
.text:01020642 FF D6 call esi ; EnableMenuItem 
.text:01020644 6A 00 push 0 ; ЧЕпаб1е 
.Хехї:01020646 57 push edi ; uIDEnableItem 
.text:01020647 FF 35 C8 97 08 01 push hmenu ; hMenu 
.text:0102064D FF D6 call esi ; EnableMenuItem 
.text:0102064F EB 1A jmp short loc 102066В 
.text:01020651 
.text:01020651 loc 1020651: ; CODE XREF: sub 1020581+B6 
.text:01020651 53 push ebx MEE 
.text:01020652 57 push edi ; uIDEnableItem 
.text:01020653 FF 35 B4 8B 08 01 push hMenu ; hMenu 
.text:01020659 FF D6 call esi ; EnableMenuItem 
.text:0102065B 53 push ebx 8 
.Хехї:0102065С 57 push edi ; uIDEnableItem 
.text:0102065D FF 35 C8 97 08 01 push hmenu ; hMenu 
.text:01020663 FF D6 call esi ; EnableMenuItem 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Эта часть кода разрешает или запрещает пункт меню Hint. 
И согласно MSDN!: 
МЕ _ DISABLED | МЕ GRAYED = Зи МЕ_ЕМАВГЕР = 0. 


Я думаю, эта ф-ция разрешает или запрещает несколько пунктов меню (Hint, 
Undo, и т. д.), исходя из значения в агд_0. Потому что при старте, когда nonb- 
зователь выбирает тип игры, пункты Hint и Undo запрещены. Они разрешены, 
когда игра начинается. 


Так что я изменяю в файле Маһјопд.ехе по адресу 0х01020637 байт 0x75 на 
ОхЕВ, делая так, что переход JNZ всегда будет работать. Эффект в том, что Q- 
ция всегда будет вызываться как EnableMenuItem(..., ..., 3). Теперь nog- 
меню Hint всё время запрещено. 


Также, почему-то, ф-ция Епаб1еМепиТ{ет() вызывается дважды, для ПМепи и 
для һтепи. Может быть, в программе два меню, и может быть, они переключа- 
ются? 


В качестве домашней работы, попробуйте запретить подменю Undo, чтобы сде- 
лать игру еще труднее. 


8.2. Шутка с task manager (Windows Vista) 
Посмотрим, сможем ли мы немного хакнуть Task Manager, чтобы он находил 
больше ядер в СРО, чем присутствует. 

В начале задумаемся, откуда Таѕк Мападег знает количество ядер? 

В міп32 имеется функция GetSystemInfo(), при помощи которой можно узнать. 


Но она не импортируется в ТаѕКптог. ехе. Есть еще одна в МТАРІ, NtQuerySystemInformation(), 
которая используется в Та5Ктдг.ехе в ряде мест. 


Чтобы узнать количество ядер, нужно вызвать эту функцию с константной 
SystemBasicInformation в первом аргументе (а это ноль 


5) 
Второй аргумент должен указывать на буфер, который примет всю информа- 
цию. 


Так что нам нужно найти все вызовы функции 
NtQuerySystemInformation(0, ?, ?, ?). 


Откроем ТаѕКтдг.ехе в IDA. Что всегда хорошо с исполняемыми файлами от 
Microsoft, это то что IDA может скачать соответствующий РОВ-файл именно 
для этого файла и добавить все имена функций. 


Видимо, Таѕк Мападег написан на Си++и некоторые функции и классы имеют 
говорящие за себя имена. 


lhttps://docs.microsoft.com/en-us/windows/win32/api/winuser/nf-winuser-enablemenuitem 
2MSDN 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


1021 
Тут есть классы САдарїег, СМЕРаде, СРегРаде, СРгосіпѓо, СРгосРаде, CSvcPage, 
СТаѕкРаде, СОѕегРаде. Должно быть, каждый класс соответствует каждой вклад- 
ке в Таѕк Мападег. 


Пройдемся по всем вызовам и добавим комментарий с числом, передающимся 
как первый аргумент. 


В некоторых местах напишем «пої zero», потому что значение в тех местах 
однозначно не ноль, но что-то другое (больше об этом во второй части главы). 


А мы все-таки ищем ноль передаваемый как аргумент. 


xrefs го __imp_NtQuerySystemInformation 


млм ат+50Е сз: пр_МЮчегубуз{егтиогтавон; 0 


Шур р  wWwinMain+542 а сх ітр_ М№Оиегубузіетіпѓогпаіоп; 2 
Е: р СРе!Раде:: ТітегЕ vent[void)+200 __ипр_М!Ючегуб изегтиогланой; not zero 
Lal р IntPerflInfofvoid])+2C са! cs: —imp_NtQuerSysteminformation; 0 
10... р InitPerfinfofvoid)+F0 са! сх: ітр_№Оиегубузіегтіпѓогпаіоп; 8 
10... р СаісСриТітеті)+5Е са! сх: ітр_№Оиегубузіетіпѓогпаіоп; 8 
LWD... р СаісСриТіте(т]+248 са! с: ітр_№Оиегџбузегтіпѓогпаіоп; 2 
41р... р СРейРаде::СаісРһҺузісаіМегипзідпеа ... call сх: ітр М№ОиегуЅузіетіпіогтаіоп; not zero 
LLD... р СРейРаде::СаісРҺузісаіМегтипзідпед ... call cs: _imp_NtQuerSystemlnformation; not zero 
41р... р  CProcPage::GetProcessInfofvoid)+28 call cs: ітр_М№Оиегубузегтіпѓогпаіоп; 5 
41р... р СРгосРаде::ШрадаіеРтосіпіоётау(мо!і)+... call cs: _imp_NtQuernSystemlnformation; 0 
110... р  СРюосРаде:ИрдаеРосиюптаууио 9+... call cs: _imp_NtQuerSystemlnformation; 2 
41р... р CProcPage::Initialize[ Hw ND_ *)+201 call сз:__тпр_МЮчегибуз{егтигогтанои; 0 
LLD... р СРиосРаде:бей askListE x{void)+3C са! cs: ітр_№Оиегубузіетіпѓогпаіоп; 5 


Рис. 8.1: IDA: вызовы функции NtQuerySysteminformation() 


Да, имена действительно говорящие сами за себя. 


Когда мы внимательно изучим каждое место, где вызывается 
NtQuerySystemInformation(0, ?, ?, ?), то быстро найдем то что нужно в YHK- 
ции InitPerfInfo(): 


Листинг 8.3: їаѕктог.ехе (Windows Vista) 


. text : 100008483 xor r9d, r9d 

. text : 10000B4B6 lea rdx, [rsp+0C78h+var_ C58] ; buffer 

. text: 10000B4BB xor ecx, ecx 

. text: 10000В4Вр lea ebp, [r9+40h] 

.text:10000B4C1 mov r8d, ebp 

. text: 10000B4C4 call cs: _ imp NtQuerySystemInformation ; 0 
. text :10000B4CA xor ebx, ebx 

. text :10000B4CC cmp eax, ebx 

. text: 10000В4СЕ jge short loc 100008407 

. text: 1000084009 

.text:10000B4D0 loc 100008400: ; CODE XREF: 


InitPerfInfo(void)+97 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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.Техе: 100008400 ; 
InitPerfInfo(void)+AF 

. text: 100008400 xor al, al 

. text :10000B4D2 jmp loc 10000В5ЕА 

.text:10000B4D7 ; 


. text :10000B4D7 


.text:10000B4D7 loc 100008407: ; CODE XREF: 
InitPerfInfo(void)+36 

. text: 10000B4D7 mov eax, [rsp+0C78h+var_C50] 

. text: 10000В4рВ mov esi, ebx 

. text :10000B4DD mov r12d, 3E80h 

. text : 10000B4E3 mov cs:?g_PageSize@@3KA, eax ; ulong g_PageSize 

. text :10000B4E9 shr eax, ОАһ 

. text :10000B4EC lea r13, _ ImageBase 

. text: 10000В4Е3 imul eax, [rsp+0C78h+var_C4C] 

. text: 10000В4Е8 cmp [rsp+0C78h+var_C20], bpl 

. text :10000B4FD mov сѕ:?9 MEMMax@@3_JA, rax ; int64 g_MEMMax 

. text :10000B504 тоу2х eax, [rsp+0C78h+var_C20] ; number о? CPUs 

. text: 100008509 cmova eax, ebp 

.text:10000B50C cmp al, bl 

. text :10000B50E mov cs:?g_cProcessors@@3EA, al ; 


uchar g_cProcessors 


g_cProcessors это глобальная переменная и это имя присвоено IDA B соответ- 
ствии с РОВ-файлом, скачанным с сервера символов Microsoft. 


Байт берется из var С20. И уаг С58 передается в 
NtQuerySystemInformation() как указатель на принимающий буфер. Разница 
между 0хС20 и 0хС58 это 0x38 (56). Посмотрим на формат структуры, который 
можно найти в MSDN: 


typedef struct SYSTEM BASIC INFORMATION { 
BYTE Reserved1[24]; 
PVOID Reserved2[4]; 
CCHAR NumberOfProcessors; 

} ЅҮЅТЕМ ВАЅІС INFORMATION; 


Это система x64, так что каждый PVOID занимает здесь 8 байт. 


Так что все гезегиед-поля занимают 24 + 4» 8 = 56. 


О да, это значит, что var С20 в локальном стеке это именно поле NumberOfProcessors 


структуры 5ҮЅТЕМ ВА$ЗТС_ТМРЕОВМАТТОМ. 


Проверим нашу догадку. Скопируем ТаѕКтдг.ехе из C:\Windows\System32 в 
какую-нибудь другую папку (чтобы Windows Resource Protection не пыталась 
восстанавливать измененный Та$Ктдг.ехе). 


Откроем его в Hiew и найдем это место: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Рис. 8.2: Нем: найдем это место 


Заменим инструкцию MOVZX на нашу. 


Сделаем вид чтоу нас 64 ядра процессора. Добавим дополнительную инструк- 
цию МОР (потому что наша инструкция короче чем та что там сейчас): 


Рис. 8.3: Нем: меняем инструкцию 


И это работает! Конечно же, данные в графиках неправильные. Иногда, Таѕк 
Мападег даже показывает общую загрузку СРО более 100%. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


ÉJ Windows Task Manager 


File Options View Help 


Applications | Processes | Services | Performance | Networking | Users 


CPU Usage CPU Usage History 


Memory Physical Memory Usage History 


Рис. 8.4: Обманутый Windows Task Manager 


Самое большое число, при котором Task Manager не падает, это 64. 


Должно быть, Task Manager в Windows Vista не тестировался на компьютерах 
с большим количеством ядер. 


И, наверное, там есть внутри какие-то статичные структуры данных, ограни- 


ченные до 64-х ядер. 


8.2.1. Использование LEA для загрузки значений 


Иногда, LEA используется в taskmgr .exe вместо MOV для установки первого ap- 


гумента 


NtQuerySystemInformation(): 


Листинг 8.4: taskmgr.exe (Windows Vista) 


xor 
div 
lea 
lea 
mov 
mov 


r9d, r9d 
dword ptr [rsp+4C8h+WwWndClass.lpfnWndProc] 
rdx, [rsp+4C8h+VersionInformation] 


ecx, [r9+2] ; put 2 to ECX 
r8d, 138h 
ebx, eax 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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; ЕСХ=буз%етРегТо гтапсеТптТо гта*10оп 
са11 с5: _ imp NtQuerySystemInformation ; 2 
тоу r8d, 30h 
lea r9, [г5=р+298һ+уаг 268] 
1еа гах, [75р+298һ+маг 258] 
1еа ecx, [r8-2Dh] ; put 3 to ECX 
; ECX=SystemTime0fDayInformation 
call cs: imp NtQuerySystemInformation ; not zero 
mov rbp, [rsi+8] 
mov r8d, 20h 
lea r9, [rsp+98h+arg_0] 
lea rdx, [rsp+98h+var 78] 
lea ecx, [r8+2Fh] ; put 0x4F to ECX 
mov [rsp+98h+var_60], ebx 
mov [rsp+98h+var_68], rbp 
; ECX=SystemSuperfetchInformation 
call cs: imp NtQuerySystemInformation ; not zero 


Должно быть, MSVC сделал так, потому что код инструкции LEA короче чем MOV 
REG, 5 (было бы 5 байт вместо 4). 


LEA со смещением в пределах -128..127 (смещение будет занимать 1 байт в опко- 
де) с32-битными регистрами даже еще короче (из-за отсутствия КЕХ-префикса) 
— 3 байта. 


Еще один пример подобного: 6.1.5 (стр. 946). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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8.3. Шутка с игрой Color Lines 


Это очень популярная игра с большим количеством реализаций. Возьмем одну 
из них, с названием BallTriX, от 1997, доступную бесплатно на https://archive. 
огд/аетаі15/Ва11тгіх 1020 3, Вот как она выглядит: 


7 )ВаШтих Г 1х] 
Бе Нер 

Score: [8 

Moves: [4 


Total cells: |100 


Cells left: [9 
Row: Е 


Рис. 8.5: Обычный вид игры 


Зили на https://web.archive.org/web/20141110053442/http://www.download-central.ws/ 
№1132 /батез/В/Ва11Тг1Х/ или ПЕЁр: //ммм .Бепуа. сот/Ба11+гіх/. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Посмотрим, сможем ли мы найти генератор псевдослучайных чисел и и сде- 
лать с ним одну шутку. 


РА быстро распознает стандартную функцию гапа в ба\11+гіх. ехе по адре- 
су 0х004030А0. IDA также показывает, что она вызывается только из одного 


места: 

.text:00402C9C sub 402С9С proc near Р 
CODE XREF: sub 402АСА+52 

. text :00402C9C ; sub 402ACA+64 ... 

. text :00402C9C 

.text:00402C9C аго_0 = dword ptr 8 

. text :00402C9C 

. text :00402C9C push ebp 

. text: 00402C9D mov ebp, esp 

. text :00402C9F push ebx 

. text :00402CA0 push esi 

.text:00402CA1 push edi 

. text : 00402СА2 mov eax, dword_40D430 

. text : 00402СА7 imul eax, dword_40D440 

. text :00402CAE add eax, dword_40D5C8 

. text : 00402CB4 mov ecx, 32000 

. text :00402CB9 cdq 

. text :00402CBA idiv ecx 

. text : 00402CBC mov dword_40D440, edx 

. text :00402CC2 call _rand 

. text :00402CC7 cdq 

. text :00402CC8 idiv [ebp+arg_0] 

. text : 00402CCB mov dword_40D430, edx 

.text:00402CD1 mov eax, dword_40D430 

. text :00402CD6 jmp $+5 

. text :00402CDB pop edi 

. text :00402CDC pop esi 

. text :00402CDD pop ebx 

. text :00402CDE leave 

. text: 00402CDF retn 

.text:00402CDF sub 402C9C endp 


Назовем eë «random». Пока He будем концентрироваться на самом коде функ- 


ции. 


Эта функция вызывается из трех мест. 


Вот первые два: 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 


00402B16 
00402B1B 
00402B1C 
00402B21 
00402B24 
00402B25 
00402B28 
00402B2D 
00402B2E 
00402B33 


mov 
push 
call 
add 
inc 
mov 
mov 
push 
call 
add 


eax, dword_40C03C ; 10 here 
eax 

random 

esp, 4 

eax 

[ebp+var_C], eax 

eax, dword_40C040 ; 10 here 
eax 

random 

esp, 4 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Вот третье: 

. text : 00402BBB mov eax, dword_40C058 ; 5 here 
. text :00402BC0 push eax 

. text :00402BC1 call random 

. text : 00402BC6 add esp, 4 

. text :00402BC9 inc eax 


Так что у функции только один аргумент. 10 передается в первых двух случаях 
и 5 в третьем. 


Мы также можем заметить, что размер доски 10*10 и здесь 5 возможных цве- 
тов. Это оно! Стандартная функция гапа () возвращает число в пределах 0. .0x7FFF 
и это неудобно, так что многие программисты пишут свою функцию, возвра- 
щающую случайное число в некоторых заданных пределах. В нашем случае, 
предел это 0..п -1 и п передается как единственный аргумент в функцию. Мы 
можем быстро проверить это в отладчике. 


Сделаем так, чтобы третий вызов функции всегда возвращал ноль. В начале 
заменим три инструкции (РУЗН/САЕЕ/АОО) на МОР$. Затем добавим инструкцию 
ХОК ЕАХ, ЕАХ, для очистки регистра ЕАХ. 


.00402BB8: 830410 ааа еѕр,010 
.00402ВВВ: А158С04000 mov eax, [00040C058] 
.00402BC0: 31С0 xor eax,eax 
.00402BC2: 90 nop 

.00402BC3: 90 nop 

.00402BC4: 90 nop 

.00402BC5: 90 nop 

.00402BC6: 90 nop 

.00402BC7: 90 nop 

.00402BC8: 90 nop 

.00402BC9: 40 inc eax 

.00402BCA: 8B4DF8 mov ecx, [ebp] [-8] 
.00402BCD: 8D0C49 lea ecx, [ecx] [ecx]*2 
.00402BD0: 8B15F4D54000 mov edx, [00040D5F4] 


Что мы сделали, это заменили вызов функции random() на код, всегда возвра- 
щающий ноль. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


1029 


Теперь запустим: 


7 Вайтих loj x| 
Help 


т 


Row: 


Рис. 8.6: Шутка сработала 


О да, это работает“. 


Но почему аргументы функции гапдот() это глобальные переменные? Это npo- 
сто потому что в настройках игры можно изменять размер доски, так что эти 
параметры не фиксированы. 10 и 5 это просто значения по умолчанию. 


8.4. Сапер (Windows ХР) 


Для тех, кто не очень хорошо играет в Сапёра (Minesweeper), можно попробо- 
вать найти все скрытые мины в отладчике. 


Как мы знаем, Сапёр располагает мины случайным образом, так что там дол- 
жен быть генератор случайных чисел или вызов стандартной функции Си гапа (). 


Вот что хорошо в реверсинге продуктов от Microsoft, так это то что часто есть 
РОВ-файл со всеми символами (имена функций, и т.д.). 


Когда мы загружаем м1пт1пе.ехе в IDA, она скачивает РОВ файл именно для 
этого исполняемого файла и добавляет все имена. 


И вот оно, только один вызов rand() в этой функции: 


.text:01003940 ; _stdcall Rnd(x) 
.text:01003940 _Rnd@4 proc near ; CODE XREF: 
StartGame()+53 


. text:01003940 ; StartGame()+61 
.text:01003940 


4Автор этой книги однажды сделал это как шутку для его сотрудников, в надежде что они 
перестанут играть. Надежды не оправдались. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


1030 


.Хехї:01003940 агд 0 = дмога ріг 4 

.сехї: 01003940 

. text :01003940 call ds: ітр rand 
. text :01003946 cdq 

.text:01003947 idiv [esp+arg_0] 

. text :0100394B mov eax, edx 
.text:0100394D retn 4 
.text:0100394D _Rnd@4 endp 


Так её назвала IDA и это было имя данное ей разработчиками Сапёра. 


Функция очень простая: 


int Апа (іп limit) 
{ 


}; 


return гапа() % limit; 


(В РОВ-файле не было имени «limit»; это мы назвали этот аргумент так, вруч- 
ную.) 


Так что она возвращает случайное число в пределах от нуля до заданного пре- 
дела. 


Rnd ( ) вызывается только из одного места, это функция с названием StartGame(), 
и как видно, это именно тот код, что расставляет мины: 


.text:010036C7 push _хВохМас 

.text:010036CD call _Впа@4 ; Впа(х) 
.Техт: 01003602 push _yBoxMac 

.text:010036D8 mov esi, eax 

.text:010036DA inc esi 

. text :010036DB call _Впа@4 ; Впа(х) 
.text:010036E0 inc eax 

.text:010036E1 mov ecx, eax 

. text :010036E3 shl ecx, 5 ; ECX=ECX*32 
. text :010036E6 test _rgBlk[ecx+esi], 80h 
.text:010036EE jnz short loc 10036С7 
.text:010036F0 shl eax, 5 ; EAX=EAX*32 
.text:010036F3 lea eax, _rgBlk[eax+esi] 
.text:010036FA or byte ptr [eax], 80h 

. text :010036FD dec _cBombStart 

.text:01003703 jnz short loc 10036С7 


Сапёр позволяет задать размеры доски, так что X (хВохМас) n Y (yBoxMac) это 
глобальные переменные. 


Они передаются в Rnd ( ) и генерируются случайные координаты. Мина устанав- 
ливается инструкцией OR на 0х010036ҒА. И если она уже была установлена до 
этого (это возможно, если пара функций Впа () сгенерирует пару, которая уже 
была сгенерирована), тогда TEST и Ј№ на 0х010036Е6 перейдет на повторную 
генерацию пары. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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cBombStart это глобальная переменная, содержащая количество мин. Так что 
это цикл. 


Ширина двухмерного массива это 32 (мы можем это вывести, глядя на инструк- 
цию SHL, которая умножает одну из координат на 32). 


Размер глобального массива rgBlk можно легко узнать по разнице между MeT- 
кой rgBLk в сегменте данных и следующей известной меткой. Это 0x360 (864): 


.аата:01005340 _rgBlk db 360h дир(?) ; DATA XREF: 
Ма1п\/паРгос(х,х,х,х)+574 

.аата: 01005340 ; ріѕр1аувВ1к(х,х) +23 

.даа: 01005640 Preferences dd ? ; DATA XREF: 


FixMenus ()+2 


864/32 = 27. 


Так что размер массива 27 +32? Это близко K тому что мы знаем: если попытаем- 
ся установить размер доски в установках Сапёра на 100 + 100, то он установит 
размер 24х30. Так что это максимальный размер доски здесь. И размер массива 
фиксирован для доски любого размера. 


Посмотрим на всё это в OllyDbg. Запустим Сапёр, присоединим (attach) OllyDbg 
к нему и увидим содержимое памяти по адресу где массив гоВ1К (0х01005340) 


5 


Так что у нас выходит такой дамп памяти массива: 


Address Нех dump 

01005340 10 10 10 10|10 10 10 10|10 10 10 OF|OF ӨЕ ОЕ ОЕ | 
01005350 ОЕ ӨЕ ОЕ OF|OF OF OF OF|OF OF ӨЕ OF|OF OF OF ОЕ | 
01005360 10 ӨЕ OF OF|OF OF OF OF|OF OF 10 OF|OF OF OF ОЕ | 
01005370 ОЕ ӨЕ ӨЕ OF|OF OF OF OF|OF OF ӨЕ OF|OF OF OF ОЕ | 
01005380 10 ӨЕ ӨЕ OF|OF OF OF OF|OF OF 10 OF|OF OF OF ОЕ | 
01005390 ОЕ ӨЕ ОЕ OF|OF OF ӨЕ OF|OF OF ӨЕ OF|OF OF ОЕ ОЕ | 
010053A0 10 ӨЕ ОЕ OF|OF OF OF OF|8F OF 10 OF|OF OF OF ОЕ | 
010053B0 ОЕ ӨЕ ОЕ OF|OF OF OF OF|OF OF ӨЕ OF|OF OF OF ОЕ | 
010053C0 10 ӨЕ ӨЕ OF|OF OF ӨЕ OF|OF OF 10 OF|OF OF OF ОЕ | 
01005300 ОЕ ӨЕ ӨЕ OF|OF OF OF OF|OF OF OF OF|OF OF OF ОЕ | 
010053Е0 10 ӨЕ OF OF|OF OF ӨЕ OF|OF OF 10 OF|OF OF OF ОЕ | 
010053F0O ОЕ ӨЕ ОЕ OF|OF OF ӨЕ OF|OF OF ӨЕ OF|OF OF OF ОЕ | 
01005400 10 ӨЕ ОЕ 8F|OF ӨЕ ВЕ OF|OF OF 10 OF|OF OF OF ОЕ | 
01005410 ОЕ ӨЕ ОЕ OF|OF OF OF OF|OF OF ӨЕ OF|OF OF OF ОЕ | 
01005420 10 ВЕ ОЕ ӨЕ|8Е ӨЕ OF OF|OF OF 10 OF|OF OF OF ОЕ | 
01005430 ОЕ ӨЕ ӨЕ OF|OF OF ӨЕ OF|OF OF ӨЕ OF|OF OF OF ОЕ | 
01005440 10 ВЕ ОЕ OF|OF OF ВЕ OF|OF ЗЕ 10 OF|OF OF OF ОЕ | 
01005450 ОЕ ӨЕ ОЕ OF|OF OF OF OF|OF OF ӨЕ OF|OF OF OF ОЕ | 
01005460 10 ӨЕ ОЕ OF|OF ВЕ OF OF|OF 8F 10 OF|OF OF OF ОЕ | 
01005470 ОЕ ӨЕ ОЕ OF|OF OF OF OF|OF OF ӨЕ OF|OF OF OF ОЕ | 
01005480 10 10 10 10|10 10 10 10|10 10 10 OF|OF OF ОЕ ОЕ | 
01005490 ОЕ ӨЕ ӨЕ OF|OF OF ӨЕ OF|OF OF ӨЕ OF|OF OF OF ОЕ | 


5Bce адреса здесь для Сапёра под Windows XP SP3 English. Они могут отличаться для других 
сервис-паков. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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010054А0 ОЕ ОЕ ОЕ OF|OF OF ОЕ OF|OF OF ОЕ OF|OF ӨЕ ОЕ ӨЕ | 
01005480 ОЕ ӨЕ ОЕ ӨЕ|ОЕ ӨЕ ОЕ ӨЕ|ОЕ ӨЕ ОЕ ӨЕ|ОЕ ӨЕ ОЕ ӨЕ| 
010054С0 ОЕ ӨЕ ОЕ ӨЕ|ОЕ ӨЕ ОЕ ӨЕ|ОЕ ӨЕ ОЕ ӨЕ|ОЕ ӨЕ ОЕ ӨЕ| 


OllyDbg, как и любой другой шестнадцатеричный редактор, показывает 16 
байт на строку. Так что каждая 32-байтная строка массива занимает ровно 
2 строки. 


Это уровень для начинающих (доска 9*9). 
Тут еще какая-то квадратная структура, заметная визуально (байты 0х10). 


Нажмем «Run» в OllyDbg чтобы разморозить процесс Сапёра, потом нажмем в 
случайное место окна Сапёра, попадаемся на мине, но теперь видны все мины: 


Ф Minesweeper РЗ 


Game Help 


Рис. 8.7: Мины 


Сравнивая места с минами и дамп, мы можем обнаружить что 0х10 это граница, 
ОхОЕ — пустой блок, 0x8F — мина. Вероятно 0х10 это T.H., sentinel value. 


Теперь добавим комментариев и также заключим все байты Ох8Р в квадратные 
скобки: 


border: 
01005340 10 10 10 10 10 10 10 10 10 10 10 ОЕ OF ОЕ ОЕ ОЕ 
01005350 ОЕ OF ОЕ OF ОЕ OF OF ОЕ OF OF OF ОЕ OF ОЕ ӨЕ ӨЕ 
line #1: 
01005360 10 OF ОЕ OF ОЕ OF OF OF OF ОЕ 10 ОЕ OF ОЕ ОЕ ОЕ 
01005370 ОЕ OF ОЕ OF ОЕ OF ОЕ ОЕ OF ОЕ OF ОЕ OF ОЕ ӨЕ ӨЕ 
1іпе #2: 
01005380 10 OF ОЕ OF ӨЕ OF ОЕ ОЕ OF ОЕ 10 ОЕ OF ОЕ ӨЕ ӨЕ 
01005390 ОЕ OF ОЕ OF ӨЕ OF ОЕ ОЕ OF ОЕ OF ОЕ OF ОЕ ӨЕ ӨЕ 
1іпе #3: 
010053А0 10 OF ОЕ OF ОЕ ӨЕ ОЕ OF[8F]OF 10 ОЕ OF ОЕ ОЕ ӨЕ 
010053B0 ОЕ OF ОЕ OF ӨЕ OF ОЕ ОЕ OF ОЕ OF ОЕ OF ОЕ ОЕ ӨЕ 
1іпе #4: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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019005300 10 OF ОЕ OF ОЕ OF ОЕ OF OF ОЕ 10 ОЕ OF ОЕ ӨЕ ӨЕ 
01005300 ОЕ OF ОЕ OF ОЕ OF ОЕ ОЕ OF ОЕ OF ОЕ OF ОЕ ӨЕ ӨЕ 
1іпе #5: 

010053Е0 10 OF ОЕ OF ОЕ OF ОЕ ОЕ OF ОЕ 10 ОЕ OF ОЕ ОЕ ӨЕ 
01005ЗЕ0 ОЕ OF ОЕ OF ОЕ OF ОЕ ОЕ OF ОЕ OF ОЕ OF ОЕ ӨЕ ӨЕ 
1іпе #6: 

01005400 10 OF ОЕ[8Е]ОЕ OF[8F]OF OF ОЕ 10 OF OF ӨЕ ӨЕ ӨЕ 
01005410 ОЕ OF ОЕ OF ӨЕ OF ӨЕ ӨЕ OF ОЕ OF ОЕ OF ӨЕ ӨЕ ӨЕ 
1іпе #7: 

01005420 10[8Е]ОЕ OF[8F]OF OF OF OF ОЕ 10 OF OF ӨЕ ӨЕ ӨЕ 
01005430 ОЕ OF ОЕ OF ӨЕ OF ӨЕ ОЕ OF ӨЕ OF ОЕ OF ӨЕ ӨЕ ӨЕ 
1іпе #8: 

01005440 10[8Е]ОЕ OF ӨЕ OF[8F]OF OF[8F]10 ОЕ OF ӨЕ ӨЕ ӨЕ 
01005450 ОЕ OF ОЕ OF ӨЕ OF ӨЕ ОЕ OF ОЕ OF ОЕ OF ӨЕ ӨЕ ӨЕ 
1іпе #9: 

01005460 10 OF ОЕ OF OF[8F]OF OF OF[8F]10 ОЕ OF OF ӨЕ ӨЕ 
01005470 ОЕ OF ОЕ OF ОЕ OF OF ОЕ OF OF OF ОЕ OF ОЕ ӨЕ ӨЕ 
border: 

01005480 10 10 10 10 10 10 10 10 10 10 10 ОЕ OF ОЕ ОЕ ОЕ 
01005490 ОЕ OF ОЕ OF ОЕ OF OF ОЕ OF ОЕ OF ОЕ OF ОЕ ӨЕ ӨЕ 


Теперь уберем все байты связанные с границами (0х10) и всё что за ними: 


ОЕ OF OF ӨЕ OF OF OF OF ӨР 
OF OF OF OF OF OF OF OF OF 
OF OF OF ӨЕ OF OF OF[8F]OF 
OF OF OF OF OF OF OF OF OF 
OF OF OF OF OF OF OF OF OF 
OF OF[8F]OF OF[8F]OF OF OF 
[8F]OF OF[8F]OF OF OF ӨЕ ӨР 
[8F]OF OF OF OF[8F]OF OF[8F] 
OF ӨЕ ӨЕ OF[8F]OF OF ӨҒ[8Е] 


Да, это всё мины, теперь это очень хорошо видно, в сравнении со скриншотом. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Вот что интересно, это то что мы можем модифицировать массив прямо в 
OllyDbg. 


Уберем все мины заменив все байты 0x8F на ОхОЕ, и вот что получится B Сапёре 


Game Help 


Рис. 8.8: Все мины убраны в отладчике 


Также уберем их все и добавим их в первом ряду: 


Game Help 


Рис. 8.9: Мины, установленные в отладчике 


Отладчик не очень удобен для подсматривания (а это была наша изначальная 
цель), так что напишем маленькую утилиту для показа содержимого доски: 
// Windows ХР Міпебмеерег cheater 

// written Бу еппіѕ (а) уигісһеу. сот for Вр: //Бед1ппег$. ге/ book 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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#include <windows .h> 
#include <assert.h> 
#include <stdio.h> 


int main (int argc, char * argv[]) 
{ 
int i, j; 
HANDLE h; 
DWORD PID, address, rd; 
BYTE board[27][32]; 


if (argc!=3) 

{ 
printf ("Usage: %s <PID> <address>\n", argv[0]); 
return Q; 


}; 


assert (argv[1]!=NULL); 
assert (argv[2]!=NULL); 


assert (sscanf (argv[1], "%d", &PID)==1); 
assert (sscanf (argv[2], "%x", &address)==1); 


h=0penProcess (PROCESS_VM_OPERATION | PROCESS УМ ВКЕАР | 2 
ъ PROCESS_VM_WRITE, FALSE, PID); 


DWORD e=GetLastError(); 
printf ("ОрепРгосеѕ5 error: %08X\n", e); 


return 0; 
}; 
if (ReadProcessMemory (h, (LPVOID)address, board, sizeof(board), &/ 
S rd)!=TRUE) 
{ 


printf ("ReadProcessMemory() failed\n"); 
return Q; 


}; 


Ғог (1=1; 1<26; 1++) 
{ 
if (board[i][0]==0x10 && Боага[1][1]==0х10) 
break; // end of board 
for (ј=1; ј<31; j++) 
{ 


if (board[i][j]==0x10) 

break; // board border 
if (board[i][j]==0x8F) 

printf ("ж"); 
else 

printf (" "); 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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}; 
printf ("\n"); 
}; 


С1оѕеНапа1е (h); 
}; 


Просто установите PID 7 и адрес массива (0х01005340 для Windows ХР SP3 
English) и она покажет его 8. 

Она подключается к мт32-процессу по РІр-у и просто читает из памяти npo- 
цесса по этому адресу. 


8.4.1. Автоматический поиск массива 


Задавать адрес каждый раз при запуске нашей утилиты, это неудобно. К тому 
же, разные версии “Сапёра” могут иметь этот массив по разным адресам. Зная, 
что всегда есть рамка (байты 0х10), массив легко найти в памяти: 


// find frame to determine the address 
process тет= (ВҮТЕж) та11ос(ргосеѕ5 тет size); 
assert (process_mem!=NULL); 


if (ReadProcessMemory (h, (LPVOID)start_addr, process тет, / 
S process тет size, &rd)!=TRUE) 


{ 
printf ("ReadProcessMemory() failed\n"); 


return 0; 
}; 


// for 9*9 grid. 
// FIXME: slow! 
for (i=0; i<process mem size; i++) 


{ 
if (memcmp(process_mem+i, "\х10\х10\х10\х10\х10\х10\х10\х10/ 
< \XxX10\x10\x10\x0F\xXOF\xXOF\XOF\xXOF\XOF\XOF\XOF\XOF\XOF\XOF\XOF\XOF\XOF\ Z 
< ХОЕ\хОЕ\хОЕ\хОЕ\хОЕ\хОЕ\хОЕ\х10"‚,‚, 32)==0) 
{ 


// found 
address=start_addr+i; 
break; 
}; 
}; 
if (address==0) 
{ 
printf ("Can't determine address of frame (and grid)\n"); 
return 0; 
} 
else 


61р программы/процесса 
7РІр можно увидеть в Task Manager (это можно включить в «View > Select Columns») 


8Скомпилированная версия здесь: бедіппегѕ.ге 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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{ 
}; 


printf ("Found frame апа grid at 0х%х\п", address); 


Полный исходный код: https : //Бед1ппег$ . ге/раума11 /ВЕ4В - зоигсе/ сиггеп* - гее/ 
/ехатр1еѕ/тіпеѕмеерег/тіпеѕмеерег сһеаїег2. с. 


8.4.2. Упражнения 


• Почему байты описывающие границы (0x10) (или sentinel value) присут- 
ствуют вообще? Зачем они нужны, если они вообще не видимы в интер- 
фейсе Сапёра? Как можно обойтись без них? 


• Как выясняется, здесь больше возможных значений (для открытых бло- 
ков, для тех на которых игрок установил флажок, и т.д.). 


Попробуйте найти значение каждого. 


• Измените мою утилиту так, чтобы она в запущенном процессе Сапёра уби- 
рала все мины, или расставляла их в соответствии с каким-то заданным 
шаблоном. 


8.5. Хакаем часы в Windows 


Иногда я устраиваю первоапрельские пранки для моих сотрудников. 


Посмотрим, можем ли мы сделать что-то с часами в Windows? Можем ли мы их 
заставить идти в обратную сторону? 


Прежде всего, когда вы кликаете на часы/время в строке состояния (status 
Баг), 

запускается модуль C:\WINDOWS\SYSTEM32\TIMEDATE.CPL, а это обычный PE- 
файл. 


Посмотрим, как отрисовываются стрелки? Когда я открываю этот файл (из 
Windows 7) в Resource Hacker, здесь есть разные виды циферблата, но нет стре- 
лок: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Resource Hacker - timedate.cpl = Гат х| 
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Рис. 8.10: Resource Hacker 


ОК, что мы знаем? Как рисовать стрелку часов? Они все начинаются B cepe- 
дине круга и заканчиваются на его границе. Следовательно, нам нужно рассчи- 
тать координаты точки на границе круга. Из школьной математики мы можем 
вспомнить, что для рисования круга нужно использовать ф-ции синуса/коси- 
нуса, или хотя бы квадратного корня. Такого в ТІМЕРАТЕ.СРІ нет, по крайней 
мере на первый взгляд. Но, благодаря отладочным РОВ-файлам от Microsoft, 
я могу найти ф-цию с названием САпа/од9С!оск::Огаи/Напа(), которая вызывает 
Gdiplus::Graphics::DrawLine() минимум дважды. 


Вот её код: 


.text:6EB9DBC7 ; private: enum Gdiplus::Status __1һ15са11 
CAnalogClock::_DrawHand(class Gdiplus::Graphics *, int, struct ClockHand 
const &, class Gdiplus::Pen *) 

.text:6EB9DBC7 ? DrawHand@CAnalogClock@@AAE? 2 
\; AwW4Status@Gdiplus@@PAVGraphics@3@HABUCLockHand@@PAVPen@3@@Z proc near 

. text : 6EB9DBC7 ; CODE XREF: CAnalogClock:: ClockPaint(HDC__ *)+163 

. text : 6EB9DBC7 ; CAnalogClock:: ClockPaint(HDC__ *)+18В 

. text : 6EB9DBC7 

.text:6EB9DBC7 var 10 

.text:6EB9DBC7 var C dword ptr -0Ch 

. text :6EB9DBC7 var 8 dword ptr -8 

.text:6EB9DBC7 маг 4 = dword ptr -4 


dword ptr -10h 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 


6EB9DBC7 аго_0 
6EB9DBC7 аго_4 
6EB9DBC7 arg_8 
6EB9DBC7 arg_C 
6EB9DBC7 
6EB9DBC7 
6EB9DBC9 
6EB9DBCA 
6EB9DBCC 
6EB9DBCF 
6EB9DBD2 
6EB9DBD3 
6EB9DBD4 
6EB9DBD5 
6EB9DBD6 
6EB9DBD8 
6EB9DBDA 
6EB9DBDB 
6EB9DBDD 
6EB9DBDF 
6EB9DBE6 
6EB9DBE9 
6EB9DBEA 
6EB9DBEC 
6EB9DBEF 
6EB9DBF2 
6EB9DBF9 
6EB9DBFC 


push 
mov 
sub 
mov 
push 
push 
push 
cdq 
push 
mov 
pop 
idiv 
push 
lea 
lea 
cdq 
idiv 
mov 
mov 
lea 
mov 
call 


ebp, esp 
esp, 10h 
eax, [ebp+arg_4] 


esi, ecx 
ecx 


ebx, table[edx*8] 
eax, [edx+1Eh] 


ecx 
ecx, [ebp+arg_0] 

[ebp+var_4], ebx 

eax, table[edx*8] 
[ebp+arg_4], eax 

?/ 


S SetInterpolationMode@Graphics@Gdiplus@@QAE? / 
S AW4Status@2@Ww4InterpolationMode@2@@Z ; 
Gdiplus::Graphics::SetInterpolationMode(Gdiplus::InterpolationMode) 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 


6EB9DC01 
6EB9DC04 
6EB9DC07 
6EB9DCOA 
6EB9DCOD 
6EB9DC10 
6EB9DC12 
6EB9DC15 
6EB9DC1A 
6EB9DC1B 
6EB9DC1E 


MulDiv(x,x,xX) 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 


6EB9DC24 
6EB9DC26 
6EB9DC29 
6EB9DC2E 
6EB9DC31 
6EB9DC33 
6EB9DC36 
6EB9DC37 
6EB9DC3A 
6EB9DC3C 
6EB9DC3E 


mov 
mov 
mov 
mov 
mov 
mov 
sub 
push 
push 
push 
mov 


call 
add 
push 
mov 
mov 
sub 
push 
mov 
push 
call 
add 


eax, [esi+70h] 
edi, [ebp+arg_8] 
[ebp+var_10], eax 
eax, [esi+74h] 
[ebp+var_ С], eax 


eax, [edi] 

eax, [edi+8] 

8000 ; nDenominator 
eax ; nNumerator 


dword ptr [ebx+4] ; nNumber 
ebx, ds: imp MulDiv@12 ; 


ebx ; MulDiv(x,x,x) ; MulDiv(x,x,x) 
eax, [esi+74h] 

8000 ; nDenominator 
[ebp+arg_8], eax 

eax, [edi] 

eax, [edi+8] 

eax ; nNumerator 

eax, [ебр+\уаг 4] 

dword ptr [eax] ; nNumber 

ebx ; MulDiv(x,x,x) ; MulDiv(x,x,x) 
eax, [esi+70h] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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. text: 6EB9DC41 mov ecx, [ebp+arg_0] 

. text : 6EB9DC44 mov [ebp+var_8], eax 

. text: 6EB9DC47 mov eax, [ebp+arg_8] 

. text : 6EB9DC4A mov [ebp+var_4], eax 

. text : 6EB9DC4D lea eax, [ebp+var 8] 

. text: 6EB9DC50 push eax 

. text :6EB9DC51 lea eax, [ebp+var_10] 

. text: 6EB9DC54 push eax 

. text: 6ЕВ9рсС55 push [ebp+arg_C] 

. text :6EB9DC58 call ?DrawLine@Graphics@Gdiplus@@QAE? / 


4 AwW4Status@2@PBVPen@2@ABVPoint@2@1@Z ; 
Gdiplus::Graphics::DrawLine(Gdiplus::Pen const *,Gdiplus::Point const 
&,Gdiplus::Point const &) 


. text: 6EB9DC5D mov ecx, [edi+8] 

. text : 6EB9DC60 test ecx, ecx 

. text : 6EB9DC62 jbe short loc бЕВ9РСАА 

. text : 6EB9DC64 test eax, eax 

. text : 6EB9DC66 jnz short loc 6EB9DCAA 

. text: 6EB9DC68 mov eax, [ebp+arg_4] 

. text : 6EB9DC6B push 8000 ; препотіпаїог 

. text : 6EB9DC70 push ecx ; nNumerator 

. text :6EB9DC71 push dword ptr [eax+4] ; nNumber 

. text : 6ЕВ9рС74 call ebx ; MulDiv(x,x,x) ; MulDiv(x,x,x) 
. text : 6EB9DC76 add eax, [esi+74h] 

. text : 6EB9DC79 push 8000 ; препотіпаїог 

. text : 6EB9DC7E push dword ptr [edi+8] ; nNumerator 

. text: 6ЕВ9рС81 mov [ebp+arg_8], eax 

. text : 6EB9DC84 mov eax, [ebp+arg_4] 

. text: 6ЕВ90С87 push dword ptr [eax] ; nNumber 

. text: 6ЕВ90С89 call ebx ; MulDiv(x,x,x) ; MulDiv(x,x,x) 
. text : 6EB9DC8B add eax, [esi+70h] 

. text: 6EB9DC8E mov ecx, [ebp+arg_0] 

. text: 6EB9DC91 mov [ebp+var_8], eax 

. text: 6EB9DC94 mov eax, [ebp+arg_8] 

. text : 6EB9DC97 mov [ebp+var_4], eax 

. text: 6EB9DC9A lea eax, [ebp+var 8] 

. text: 6EB9DC9D push eax 

. text : 6EB9DC9E lea eax, [ebp+var_10] 

. text: 6EB9DCA1 push eax 

. text: 6EB9DCA2 push [ebp+arg_C] 

. text: 6ЕВ9рсСА5 call ?DrawLine@Graphics@Gdiplus@@QAE? 2 


4 AW4Status@2@PBVPen@2@ABVPoint@2@1@Z ; 
Gdiplus::Graphics::DrawLine(Gdiplus::Pen const *,Gdiplus::Point const 
&,Gdiplus::Point const &) 

. text: 6EB9DCAA 

.text:6EB9DCAA loc 6EB9DCAA: ; CODE XREF: 
CAnalogClock::_DrawHand (Gdiplus::Graphics *,int,ClockHand const 
&,Gdiplus::Pen *)+9B 


. text : 6EB9DCAA ; CAnalogClock::_ РргамНапа (Саір1иѕ: : бгарһћісѕ 
ж іп, СТоскКНапа const &, батр1и$: :Реп *)+9Е 

. text: бЕВ9рСАА рор edi 

. text : 6EB9DCAB pop esi 

. text: 6EB9DCAC pop ebx 

. text : 6EB9DCAD leave 

. text: 6EB9DCAE retn 10h 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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.text:6EB9DCAE ? DrawHand@CAnalogClock@@AAE? 2 
ъ AW4Status@Gdiplus@@PAVGraphics@3@HABUCLockHand@@PAVPen@3@@Z епар 
. text: бЕВУБСАЕ 


Мы можем увидеть что аргументы DrawLine() зависят от результата ф-ции MulDiv() 
и таблицы table[] (название дал я), которая содержит 8-байтные элементы (по- 
смотрите на второй операнд LEA). 


Что внутри фа е[]? 


.text:6EB87890 ; int table[] 

. text :6EB87890 table dd 0 

. text : 6ЕВ87894 dd OFFFFEOC1h 
. text : 6ЕВ87898 dd 344h 

. text: 6EB8789C dd OFFFFEQECh 
. text: 6ЕВ878А0 dd 67Fh 

. text : 6ЕВ878А4 dd OFFFFE16Fh 
. text : 6ЕВ878А8 dd 9A8h 

. text: 6ЕВ878АС dd OFFFFE248h 
. text : 6ЕВ878В0 dd ОСВ5һ 

. text : 6ЕВ878В4 dd OFFFFE374h 
. text : 6EB878B8 dd OF9Fh 

. text :6EB878BC dd OFFFFE4FOh 
. text :6EB878C0 dd 125Eh 

. text : 6ЕВ878С4 dd OFFFFE6B8h 
. text : 6EB878C8 dd 14E9h 


Доступ к ней есть только из ф-ции DrawHand(). Y ней 120 32-битных слов или 
60 32-битных пар ...подождите, 60? Посмотрим ближе на эти значения. Преж- 
де всего, я затру нулями первые 6 пар или 12 32-битных слов, и затем я поло- 
жу пропатченный Т/ІМЕРАТЕ.СРІ в C:\WINDOWS\SYSTEM32. (Вам, возможно, npn- 
дется установить владельца файла *ТІМЕРАТЕ.СРІ* равным вашей первичной 
пользовательской учетной записи (вместо Тги$ {ет а!ег), а также загрузить- 
ся в безопасном режиме с командной строкой, чтобы скопировать этот файл, 
который обычно залоченный.) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


1042 


Monday, August 15, 2016 


Su Мо Ти Ме Th Fr ба 
4 5 6 
11 12 13 
18 19 20 


— 
2:01:02РМ 


25 % 27 Му Р, 


Change date and time settings... 


В > 2:01РМ 
4 м0) 8/15/2016 ™ 


Рис. 8.11: Attempt to run 


Теперь, когда стрелка находится на 0..5 секундах/минутах, она невидимая! Xo- 
тя, противоположная (короткая) часть секундной стрелки видима, и двигается. 
Когда любая стрелка за пределами этой области, она видима, как обычно. 


Посмотрим на эту таблицу при помощи Mathematica. Я скопировал таблицу из 
ТІМЕРАТЕ.СРІ в файл tbl (480 байт). Будем считать, что это знаковые значения, 
потому что половина элементов меньше нуля (ОРЕЕЕЕОСТИ, ит. д.). Если бы эти 
значения были бы беззнаковыми, они были бы подозрительно большими. 


Тп[]:= tbl = BinaryReadList["~/.../tbl", "Іпїедег32"] 
Out[]= {0, -7999, 836, -7956, 1663, -7825, 2472, -7608, 3253, -7308, 3999, / 


SA 
—6928, 4702, -6472, 5353, -5945, 5945, -5353, 6472, –4702, 6928, \ 
—4000, 7308, -3253, 7608, -2472, 7825, -1663, 7956, -836, 8000, 0, \ 
7956, 836, 7825, 1663, 7608, 2472, 7308, 3253, 6928, 4000, 6472, \ 
4702, 5945, 5353, 5353, 5945, 4702, 6472, 3999, 6928, 3253, 7308, \ 
2472, 7608, 1663, 7825, 836, 7956, 0, 7999, -836, 7956, -1663, 7825, \ 
—2472, 7608, -3253, 7308, –4000, 6928, -4702, 6472, -5353, 5945, \ 
—5945, 5353, -6472, 4702, –6928, 3999, -7308, 3253, -7608, 2472, \ 
—7825, 1663, -7956, 836, -7999, 0, -7956, -836, -7825, -1663, -7608, \ 
-2472, -7308, -3253, -6928, -4000, -6472, -4702, -5945, -5353, -5353, \ 
—5945, -4702, -6472, -3999, -6928, -3253, -7308, -2472, -7608, –1663, \ 
—7825, -836, –7956} 


Іп[]: 
Ои [] 


Гепоїћ [61] 
120 


Будем считать два последовательно идущих 32-битных значения как пару: 


In[]:= pairs = Рагііїіоп[+61, 2] 

Out[]= 440, -7999}, {836, -7956}, {1663, -7825}, {2472, -7608}, \ 
{3253, -7308}, {3999, -6928}, {4702, -6472}, {5353, -5945}, {5945, \ 
—5353}, {6472, –4702}, {6928, -4000}, {7308, -3253}, 47608, -2472}, \ 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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{7825, -1663}, {7956, -836}, {8000, 0}, {7956, 836}, {7825, 
1663}, {7608, 2472}, {7308, 3253}, 46928, 4000}, {6472, 

4702}, 45945, 5353}, +5353, 5945}, 44702, 6472}, {3999, 

6928}, {3253, 7308}, {2472, 7608}, {1663, 7825}, {836, 7956}, {0, 
7999}, {-836, 7956}, {-1663, 7825}, {-2472, 7608}, {-3253, 

7308}, {-4000, 6928}, {-4702, 6472}, {-5353, 5945}, {-5945, 
5353}, {-6472, 4702}, {-6928, 3999}, {-7308, 3253}, {-7608, 
2472}, {-7825, 1663}, {-7956, 836}, {-7999, 

0}, {-7956, -836}, {-7825, -1663}, {-7608, -2472}, {-7308, -3253}, \ 
{-6928, -4000}, {-6472, -4702}, {-5945, -5353}, {-5353, -5945}, \ 
{-4702, -6472}, {-3999, -6928}, {-3253, -7308}, {-2472, -7608}, \ 
{-1663, -7825}, {-836, -7956}} 


Іп[1:= Length[pairs] 
Out[]= 60 


Попробуем считать каждую пару как координату Х/Ү и нарисуем все 60 пар, а 
также первые 15 пар: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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1п113:- ListPlot[pairs, AspectRatio > Full, ImageSize > {300, 300}] 


о тео 


5000 + 


. 
2 © 

Out[13]= -e—a — O V ИНГ N E S ЧЕ 
D -5000 5000 А 

. 


- 5000F 


1п127:- ListPlot[pairs[[1 ;; 15]], AspectRatio > Full, ImageSize > {300, 300}] 


S r ааа. 
2000 4000 6000 8000 


- 2000 


T 


Out[27}= -4000 


-6000 Е . 


Рис. 8.12: Mathematica 


Ну теперь это кое-что! Каждая пара это просто координата. Первые 15 пар это 
координаты 1 круга. 


Видимо, разработчики в Microsoft рассчитали все координаты предварительно 
и сохранили их в таблице. Это распространенная, хотя и немного олд-скульная 
практика - доступ к предвычисленным значениям в таблице быстрее, чем вы- 
зывать относительно медленные ф-ции синуса/косинуса?. В наше время опе- 
рации синуса/косинуса уже не такие дорогие. 


Теперь понятно, почему когда я затер первые 6 пар, стрелки были невидимы 


9Сегодня это называют тетоаНоп 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


1045 
в этой области: на самом деле, стрелки рисовались, просто их длина была ну- 
левой, потому что стрелка начиналась в координатах 0:0, и там же и заканчи- 
валась. 


Пранк (шутка) 


Учитывая всё это, можем ли мы заставить стрелки идти в обратную сторону? 
На самом деле, это просто, нужно просто развернуть таблицу, так что каждая 
стрелка, вместо отображения на месте нулевой секунды, рисовалась бы на 
месте 59-й секунды. 


Когда-то давным давно я сделал патчер, в в самом начале 2000-х, для Windows 
2000. Трудно поверить, но он всё еще работает и для Windows 7, видимо, таб- 
лица с тех пор не менялась! 


Исходник патчера: һіїрѕ : //Бед1ппег$ . ге/раума11 /ВЕДВ - ѕоигсе/сиггепї - {гее/ 
/ехатр1еѕ/+ітедаїе/+іте рі. с. 


Теперь видно как стрелки идут назад: 


Saturday, August 13, 2016 


Su Мо Ти Ме Th 


1234 

7 8 9 10 11 
14 15 16 17 18 
21 22 23 24 25 
28 29 30 31 1 


9:32:09 АМ 


Change date and time settings... 


> 9:32 АМ 
А У вузов Е 


Рис. 8.13: Now it works 


В этой книге, конечно, нет анимации, но если присмотритесь, увидите, что на 
самом деле стрелки показывают корректное время, но весь циферблат повер- 
нут вертикально, как если бы мы видели его изнутри часов. 


Утекшие исходники Windows 2000 


Так что я сделал патчер, потом утекли исходники Windows 2000 (я не могу 
заставить вас поверить мне, конечно). Посмотрим на исходный код этой ф-ции 
и таблицы. 

Нужный файл это win2k/private/shell/cpls/utc/clock.c: 


// | 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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// Array containing the sine апа cosine values for hand positions. 


// 
POINT rCircleTable[] = 


{ 

{ 0, —7999}, 

{ 836, —7956}, 

{ 1663, -7825}, 

{ 2472, -7608}, 

{ 3253, -7308}, 

{ -4702, -6472}, 

{ -3999, -6928}, 

{ -3253, -7308}, 

{ -2472, -7608}, 

{ -1663, -7825}, 

{ -836 , -7956}, 
}; 
//////////////////////////////////////////////////////////////////////////// 
// 
// БгамНапа 
// 
// Draws the hands о? the clock. 
// 


//////////////////////////////////////////////////////////////////////////// 


void ОгамНапа( 
HDC ВОС, 
int pos, 
HPEN hPen, 
int scale, 
int patMode, 
PCLOCKSTR np) 


LPPOINT lppt; 
int radius; 


MoveTo(hDC, np->clockCenter.x, np->clockCenter.y); 
radius = MulDiv(np->clockRadius, scale, 100); 

lppt = rCircleTable + pos; 

SetROP2(hDC, patMode); 

SelectO0bject(hDC, НРеп); 


LineTo( ПОС, 
np->clockCenter.x + MulDiv(lppt->x, radius, 8000), 
np->clockCenter.y + MulDiv(lppt->y, radius, 8000) ); 


Теперь всё ясно: координаты были предвычислены, как если бы циферблат 
был размером 2. 8000, а затем он масштабируется до радиуса текущего цифер- 
блата используя ф-цию MulDiv(). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Структура РО!МТ"° это структура из двух 32-битных значений, первое это х, 
второе это у. 


8.6. Донглы 
Автор этих строк иногда делал замену донглам или «эмуляторы донглов» и 
здесь немного примеров, как это происходит. 


Об одном неописанном здесь случае с Rockey и 23 вы также можете прочитать 
здесь : Пр: //уигісһеу. сот/тр/ЅАТ 5МТ РВАҒТ. pdf. 


8.6.1. Пример #1: MacOS Classic и PowerPC 


Вот пример программы для MacOS Classic 11, для PowerPC. Компания, разрабо- 
тавшая этот продукт, давно исчезла, так что (легальный) пользователь боялся 
того что донгла может сломаться. 


Если запустить программу без подключенной донглы, можно увидеть окно с 
надписью 


”Invalid Security Device”. Мне повезло потому что этот текст можно было легко 
найти внутри исполняемого файла. 


Представим, что мы не знакомы ни с Мас OS Classic, ни с PowerPC, но всё-таки 
попробуем. 


IDA открывает исполняемый файл легко, показывая его тип как 


"РЕЕ (Мас OS ог Ве OS executable)” (действительно, это стандартный тип фай- 
лов в Мас OS Classic). 


В поисках текстовой строки с сообщением об ошибке, мы попадаем на этот 
фрагмент кода: 


seg000:000C87FC 38 60 00 01 li %r3, 1 

ѕед000:000Сс8800 48 03 93 41 bl сһеск1 

ѕед000:000С8804 60 00 00 00 пор 

ѕед000:000С8808 54 60 06 ЗҒ clrlwi. %г0, %r3, 24 

ѕед000:000С880С 40 82 00 40 bne ок 

5ед000:000С8810 80 62 9Е 08 lwz %г3, ТС аІпма1 іабесигіїуреуісе 


Да, это код PowerPC. Это очень типичный процессор для RISC 1990-х. Каждая 
инструкция занимает 4 байта (как и в MIPS и АКМ) и их имена немного похожи 
на имена инструкций MIPS. 


10һ+трѕ : //тѕӣп. тісгоѕо?ї. сот/еп- иѕ/1іргагу/міпаомѕ/йеѕкіор/ 0162805 (у=у5.85) .аѕрх 
11МасО5 перед тем как перейти на UNIX 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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сһеск1() это имя которое мы дадим этой функции немного позже. BL это nH- 
струкция Branch Link т.е. предназначенная для вызова подпрограмм. Самое 
важное место — это инструкция ВМЕ, срабатывающая, если проверка наличия 
донглы прошла успешно, либо не срабатывающая в случае ошибки: и тогда 
адрес текстовой строки с сообщением об ошибке будет загружен в регистр r3 
для последующей передачи в функцию отображения диалогового окна. 


Из [Steve Zucker, SunSoft апа Kari Karhi, ІВМ, SYSTEM V APPLICATION BINARY INTERFACE: 
PowerPC Processor Supplement, (1995)]!?мы узнаем, что регистр гЗ используется 
для возврата значений (и еще г4 если значение 64-битное). 


Еще одна, пока что неизвестная инструкция СЕВЕМТ. Из [PowerPC(tm) Microprocessor 
Family: Тһе Programming Environments for 32-Bit Microprocessors, (2000)]'3мы 
узнаем, что эта инструкция одновременно и очищает и загружает. В нашем 
случае, она очищает 24 старших бита из значения в r3 и записывает всё это в 

rO, так что это аналог MOVZX в x86 (1.23.1 (стр. 263)), но также устанавливает 
флаги, так что ВМЕ может проверить их потом. 


Посмотрим внутрь сПеск1 (): 


5е9000:00101840 сһеск1: # CODE XREF: 5е0000:00063Е7Ср 
ѕед000 :00101B40 # sub 64070+160p ... 

seg000 :00101B40 

seg000 :00101B40 .set агд 8, 8 

ѕед000 :00101B40 

seg000:00101B40 7C 08 02 A6 mflr %г0 

ѕед000:00101844 90 01 00 08 stw %г0, arg_8(%sp) 
seg000:00101B48 94 21 FF CO stwu %5р, -0x40 (%sp) 
seg000:00101B4C 48 01 6B 39 bl check2 
seg000:00101B50 60 00 00 00 nop 

seg000:00101B54 80 01 00 48 lwz %г0, 0x40+arg_8(%sp) 
seg000:00101B58 38 21 00 40 addi %5р, %5р, 0x40 
seg000:00101B5C 7C 08 03 A6 mtlr %г0 

5е9000:00101860 4E 80 00 20 blr 

ѕед000 : 00101860 # Епа of function сһеск1 


Как можно увидеть B IDA, эта функция вызывается из многих мест в программе, 
но только значение в регистре r3 проверяется сразу после каждого вызова. 
Всё что эта функция делает это только вызывает другую функцию, так что 
это thunk function: здесь присутствует и пролог функции и эпилог, но регистр 
r3 не трогается, так что сһесК1 () возвращает то, что возвращает сһеск2 (). 


ВІА! это похоже возврат из функции, но так как IDA делает всю разметку 
функций автоматически, наверное, мы можем пока не интересоваться этим. 
Так как это типичный RISC, похоже, подпрограммы вызываются, используя link 
register, точно как в ARM. 


Функция сһеск2 () более сложная: 


ѕед000 : 00118684 check2: # CODE XREF: сһеск1+Ср 


12Также доступно здесь: http://yurichev.com/mirrors/PowerPC/elfspec_ppc.pdf 
13Также доступно здесь: http://yurichev.com/mirrors/PowerPC/6xx_pem. pdf 
14(РомегРС) Branch to Link Register 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
ѕед000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 


: 00118684 
: 00118684 
: 00118684 
: 00118684 
: 00118684 
: 00118684 
: 00118684 
: 00118684 
: 00118688 
:0011868С 
: 00118690 
: 00118690 
: 00118694 
: 00118698 
:0011869С 
:001186А0 
:001186А4 
:001186А8 
:001186АС 
: 00118680 
: 00118684 
: 00118688 
: 00118688 
: 00118688 
:0011868ВС 
:001186С0 
:001186С4 
:001186С4 
:001186С4 
:001186С8 
:001186СС 
: 00118600 
: 00118604 
: 00118608 
:0011860С 
:001186Е0 
:001186Е0 
:001186Е0 
:001186Е4 
:001186Е8 
:001186ЕС 
:001186ғ0 
:001186F4 
:001186F8 
:001186F8 
:001186F8 
:001186FC 
:00118700 
:00118704 
:00118708 
:00118708 
:00118708 
:0011870C 


7F 
48 


.set var_18, -0x18 
.set var С, -0хС 
.set var 8, -8 
.set маг 4, -4 
.set arg 8, 8 


stw %г31, var_4(%sp) 

mflr %г0 

lwz %г31, off_1485E8 # dword 24B704 
.using dword_24B704, %r31 

stw %r30, var_8(%sp) 

stw %r29, var_C(%sp) 

mr %г29, %r3 

stw %г0, arg_8(%sp) 


сїгїм1 %г0, %r3, 24 
cmplwi %г0, 1 


stwu %sp, -0x50 (%5р) 
bne loc_1186B8 
li %r3, 1 
b exit 
loc_1186B8: # CODE XREF: check2+28j 
bl sub 118А8С 
nop 
li %г30, 0 
skip: # CODE XREF: check2+94j 
clrlwi. %г0, %r30, 24 
beq loc_1186E0 
addi %r3, %sp, 0x50+var_18 
lwz %r4, dword_24B704 
bl . ВВЕРТМОМЕХТ 
пор 
b loc_1186F8 
loc_1186E0: # CODE XREF: check2+44j 
lwz %r5, dword_24B704 
addi %r4, %sp, 0x50+var_18 
li %r3, 0х1234 
bl . ВВЕРТМОРТВ$Т 
пор 
11 %г30, 1 


1ос 118678: # CODE XREF: check2+58j 


clrlwi. %r0, %r3, 16 

beq must_jump 

li %r3, 0 # error 
b exit 


must_jump: # CODE XREF: check2+78j 
mr %r3, %r29 
bl check3 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


1050 


5е9000:00118710 60 00 00 00 пор 

5е9000: 00118714 54 60 06 ЗҒ  clrlwi. %г0, %г3, 24 
5е9000:00118718 41 82 ЕЕ АС Бед skip 

seg000:0011871C 38 60 00 01 li %r3, 1 

ѕед000 :00118720 

5е9000:00118720 ех1ї: # CODE XREF: check2+30j 
seg000:00118720 # check2+80j 
seg000:00118720 80 01 00 58 lwz %г0, 0x50+arg_8(%sp) 
seg000:00118724 38 21 00 50 addi %5р, %5р, 0x50 
5е9000:00118728 83 El ЕЕ ЕС lwz %г31, var_4(%sp) 
seg000:0011872C 7С 08 03 А6 mtlr %г0 

5е9000:00118730 83 C1 FF F8 lwz %r30, var_8(%sp) 
5е9000:00118734 83 А1 FF F4 lwz %r29, var_C(%sp) 
seg000:00118738 4E 80 00 20 blr 

seg000 :00118738 # End of function check2 


Снова повезло: имена некоторых функций оставлены B исполняемом файле (в 
символах в отладочной секции? Трудно сказать до тех пор, пока мы не знакомы 
с этим форматом файлов, может быть это что-то вроде РЕ-экспортов (6.5.2))? 
Как например .ВВЕРТМОМЕХТ() апа .КВЕРТМОЕТВ$Т(). 


В итоге, эти функции вызывают другие функции с именами вроде .GetNextDeviceViaUSB(), 
. 05ВбепарРКТ ( ), так что они явно работают с каким-то У$В-устройством. 


Тут даже есть функция с названием .GetNextEve3Device() — звучит знакомо, 
в 1990-х годах была донгла Sentinel Eve3 для АБВ-порта (присутствующих на 
Макинтошах). 


В начале посмотрим на то как устанавливается регистр г3 одновременно игно- 
рируя всё остальное. Мы знаем, что «хорошее» значение в r3 должно быть не 
нулевым, а нулевой r3 приведет к выводу диалогового окна с сообщением об 
ошибке. 


В функции имеются две инструкции 11 %г3, 1 иодна li %г3, 0 (Гоаа 1ттеага!е, 
т.е. загрузить значение в регистр). Самая первая инструкция находится на 
0х001186В0 — и честно говоря, трудно заранее понять, что это означает. 


А вот то что мы видим дальше понять проще: вызывается .RBEFINDFIRST() и 
в случае ошибки, 0 будет записан в r3 и мы перейдем на exit, а иначе будет 
вызвана функция check3() — если и она будет выполнена с ошибкой, будет 
вызвана .КВЕРТМОМЕХТ() вероятно, для поиска другого У$В-устройства. 


N.B.: с1г1мі. %г0, %r3, 16 это аналог того что мы уже видели, но она очища- 
ет 16 старших бит, т.е., 
. RBEFINDFIRST () вероятно возвращает 16-битное значение. 


В (означает branch) — безусловный переход. 
ВЕО это обратная инструкция от ВМЕ. 


Посмотрим на check3(): 


5е9000:0011873С check3: # CODE XREF: сһеск2+88р 
5е9000:0011873С 
5е9000:0011873С .ѕеї маг 18, -0x18 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


1051 


5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 


:0011873С 

:0011873С 

:0011873С 

:0011873С 

:0011873С 

:0011873С 93 Е1 
:00118740 7С 08 
:00118744 38 Аб 
:00118748 93 C1 
:0011874С 83 C2 
: 00118750 

:00118750 93 А1 
:00118754 ЗВ АЗ 
:00118758 38 60 
:0011875С 90 01 
:00118760 94 21 
:00118764 80 DE 
:00118768 38 81 
:0011876С 48 00 
:00118770 60 00 
:00118774 54 60 
:00118778 41 82 
:0011877С 38 60 
:00118780 48 00 
:00118784 

:00118784 

:00118784 Аб 01 
:00118788 28 00 
:0011878С 41 82 
:00118790 38 60 
:00118794 48 00 
: 00118798 

: 00118798 

:00118798 80 DE 
:0011879С 38 81 
:001187А0 38 60 
:001187А4 38 Аб 
:001187А8 48 00 
:001187АС 60 00 
:001187В0 54 60 
:001187В4 41 82 
:001187В8 38 60 
:001187ВС 48 00 
:001187С0 

:001187С0 

:001187С0 Аб 01 
:001187С4 28 00 
:001187С8 41 82 
:001187СС 38 60 
:001187р0 48 00 
:001187р4 

:001187р4 

:001187р4 4B F9 


stw %г31, var_4(%sp) 
mflr %ro 
li %r5, 0 
stw %r30, var_8(%sp) 
lwz %r30, off_1485E8 # dword 24B704 
.using dword_24B704, %r30 
stw %r29, var_C(%sp) 
addi %r29, %r3, 0 
li %r3, 0 
stw %г0, arg_8(%sp) 
stwu %sp, -0x50(%sp) 
lwz %гб, dword_24B704 
addi %r4, %sp, 0x50+var_18 
bl . RBEREAD 
nop 
clrlwi. %r0, %r3, 16 
beq loc_118784 
li %r3, 0 
b exit 
loc_118784: # CODE XREF: check3+3Cj 
thz %г0, 0x50+var_18(%sp) 
cmplwi %r0, 0x1100 
beq loc_118798 
li %r3, 0 
b exit 
loc_118798: # CODE XREF: check3+50j 
lwz %гб, dword_24B704 
addi %r4, %sp, 0x50+var_18 
li %r3, 1 
li %r5, 0 
bl . RBEREAD 
nop 
clrlwi. %r0, %r3, 16 
beq loc_1187C0 
li %r3, 0 
b exit 
loc_1187C0: # CODE XREF: check3+78j 
thz %г0, 0x50+var_18(%sp) 
cmplwi %r0, 0x09AB 
beq loc_1187D4 
li %r3, 0 
b exit 


loc_1187D4: # CODE XREF: check3+8Cj 
bl sub_B7BAC 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 


: 090118708 
:001187рс 
:001187Е0 
:001187Е4 
:001187Е8 
:001187ЕС 
:001187Е0 
:001187Е4 
:001187Е8 
:001187Е8 
:001187Е8 
:001187ЕС 
: 00118800 
: 00118804 
: 00118804 
: 00118804 
: 00118808 
:0011880С 
: 00118810 
:00118814 
:00118818 
:0011881С 
:00118820 
:00118824 
:00118828 
:0011882С 
:0011882С 
:0011882С 
: 00118830 
: 00118834 
: 00118838 
:0011883С 
: 00118840 
: 00118840 
: 00118840 
:00118844 
: 00118848 
: 00118848 
: 00118848 
:0011884С 
:00118850 
:00118854 
:00118858 
:0011885С 
: 00118860 
: 00118864 
:00118868 
:0011886С 
: 00118870 
:00118870 
: 00118870 
:00118874 
: 00118878 


38 
ЕЗ 
oC 


nop 
clrlwi %г0, %r3, 24 
cmpwi %г0, 5 
beq loc_1188E4 
bge loc_1187F8 
cmpwi %гО, 4 
bge loc_118848 
b loc_118980 
loc_1187F8: # CODE XREF: check3+ACj 
cmpwi %г0, 0xB 
beq loc_118804 
b loc_118980 
loc_118804: # CODE XREF: check3+C0j 
lwz %гб, dword_24B704 
addi %r4, %sp, 0x50+var_18 
li %r3, 8 
li %r5, 0 
bl . RBEREAD 
nop 
clrlwi. %r0, %r3, 16 
beq loc_11882C 
li %r3, 0 
b exit 
loc_11882C: # CODE XREF: check3+E4j 
thz %г0, 0x50+var_18(%sp) 
cmplwi %r0, ӨхЕЕАӨ 
beq loc_118840 
li %r3, 0 
b exit 
loc_118840: # CODE XREF: check3+F8j 
li %r3, 1 
b exit 
loc_118848: # CODE XREF: check3+B4j 
lwz %r6, dword_24B704 
addi %r4, %sp, 0x50+var_18 
li %r3, ОХА 
li %r5, 0 
bl . RBEREAD 
nop 
clrlwi. %r0, %r3, 16 
beq loc_118870 
li %r3, 0 
b exit 
loc_118870: # CODE XREF: check3+128j 
thz %г0, 0x50+var_18(%sp) 
cmplwi %r0, 0xA6E1 
beq loc_118884 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 


:0011887С 
: 00118880 
: 00118884 
: 00118884 
: 00118884 
: 00118888 
:0011888С 
: 00118890 
: 00118894 
: 00118898 
: 00118898 
: 00118898 
:0011889С 
:001188А0 
:001188А4 
:001188А8 
:001188АС 
:001188В0 
:001188В4 
:001188В8 
:001188ВС 
:001188С0 
:001188С0 
:001188С0 
:001188С4 
:001188С8 
:001188СС 
: 00118800 
: 00118804 
: 00118804 
: 00118804 
: 00118808 
:001188рс 
:001188Е0 
:001188Е4 
:001188Е4 
:001188Е4 
:001188Е8 
:001188ЕС 
:001188ғ0 
:001188Е4 
:001188Е8 
:001188ЕС 
:00118900 
:00118904 
: 00118908 
:0011890С 
:0011890С 
:0011890С 
: 00118910 
:00118914 
: 00118918 
:0011891С 


11 %r3, 0 
b exit 


loc_118884: # CODE XREF: check3+13Cj 


clrlwi %r31, %r29, 24 
cmplwi %r31, 2 


bne loc_118898 
li %r3, 1 
b exit 


loc_118898: # CODE XREF: check3+150j 


lwz %гб, dword_24B704 
addi %r4, %sp, 0x50+var_18 
li %r3, 0xB 

li %г5, 0 

bl . RBEREAD 

nop 

clrlwi. %r0, %r3, 16 

beq loc_1188C0 

li %r3, 0 

b exit 


loc_1188C0: # CODE XREF: check3+178j 


thz %г0, 0x50+var_18(%sp) 
cmplwi %r0, 0x1C20 

beq loc_1188D4 

li %r3, 0 

b exit 


loc_1188D4: # CODE XREF: check3+18Cj 


cmplwi %r31, 3 


bne error 
li %r3, 1 
b exit 


loc_1188E4: # CODE XREF: check3+A8j 


lwz %гб, dword_24B704 
addi %r4, %sp, 0x50+var_18 
li %r3, 0xC 

li %г5, 0 

bl . RBEREAD 

nop 

clrlwi. %r0, %r3, 16 

beq loc_11890C 

li %r3, 0 

b exit 


loc_11890C: # CODE XREF: check3+1C4j 


thz %г0, 0x50+var_18(%sp) 
cmplwi %г0, 0x40FF 

beq loc_118920 

li %r3, 0 

b exit 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
ѕед000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 
seg000 


:00118920 
:00118920 
:00118920 
:00118924 
:00118928 
:0011892C 
:00118930 
:00118934 
:00118934 
:00118934 
:00118938 
:0011893C 
:00118940 
:00118944 
:00118948 
:0011894C 
:00118950 
:00118954 
:00118958 
:0011895C 
:0011895C 
:0011895C 
:00118960 
:00118964 
:00118968 
:0011896C 
:00118970 
:00118970 
:00118970 
:00118974 
:00118978 
:0011897C 
:00118980 
:00118980 
:00118980 
:00118980 
:00118984 
:00118988 
:0011898C 
:00118990 
:00118994 
:00118998 
:0011899C 
:001189A0 
:001189А4 
:001189А8 
:001189АС 
:001189АС 
:001189АС 
:001189B0 
:001189B4 
:001189B8 
:001189BC 


loc_118920: # CODE XREF: check3+1D8j 


clrlwi %r31, %r29, 24 
cmplwi %r31, 2 


bne loc_118934 
li %r3, 1 
b exit 


loc_118934: # CODE XREF: check3+1ECj 


lwz %r6, dword_24B704 
addi %r4, %sp, 0x50+var_18 
li %r3, 0xD 

li %г5, 0 

bl . RBEREAD 

nop 

clrlwi. %r0, %r3, 16 

beq loc_11895C 

li %r3, 0 

b exit 


loc_11895C: # CODE XREF: check3+214j 


thz %г0, 0x50+var_18(%sp) 
cmplwi %r0, ӨхЕС7 

beq loc_118970 

li %r3, 0 

b exit 


loc_118970: # CODE XREF: check3+228j 


cmplwi %r31, 3 


bne error 
li %r3, 1 
b exit 


loc_118980: # CODE XREF: check3+B8j 


# check3+C4j 


lwz %гб, dword_24B704 
addi %r4, %sp, 0x50+var_18 
li %r31, 0 

li %r3, 4 

li %г5, 0 

bl . RBEREAD 

nop 

clrlwi. %r0, %r3, 16 

beq loc_1189AC 

li %r3, 0 

b exit 


loc_1189AC: # CODE XREF: check3+264j 


thz %г0, 0x50+var_18(%sp) 
cmplwi %r0, 0xAEDO 

bne loc_1189C0 

li %r31, 1 

b loc_1189D0 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 


5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
ѕед000 
ѕед000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 
5е9000 


:001189С0 
:001189С0 
:001189С0 
:001189С4 
:001189С8 
:001189СС 
:00118900 
: 00118900 
: 00118900 
:00118900 
:00118904 
: 00118908 
:001189рс 
:001189Е0 
:001189Е4 
:001189Е8 
:001189ЕС 
:001189Е0 
:001189Е0 
:001189Е0 
:001189Е4 
5е9000: 
:001189Е8 
:001189Е8 
:001189ЕС 
:00118А00 
:00118А04 
:00118А08 
:00118А0С 
:00118А10 
:00118А14 
:00118А18 
:00118А1С 
:00118А20 
:00118А20 
:00118А20 
:00118А24 
:00118А28 
:00118А2С 
:00118А30 
:00118А34 
:00118А34 
:00118А34 
:00118А38 
:00118АЗС 
:00118А40 
:00118А44 
:00118А44 
:00118А44 
:00118А44 
:00118А48 
:00118А4С 
:00118А50 


001189Е8 


10с 1189С0: # CODE XREF: сһеск3+278] 


стр1мі 
beq 

li 

b 


%гО, 0x2818 
loc_1189D0 
%r3, 0 

exit 


loc_1189D0: # CODE XREF: check3+280j 


clrlwi 
cmplwi 
bne 
clrlwi. 
beq 

bl 


# check3+288j 
%гО, %r29, 24 
%r0, 2 
loc_1189F8 
%г0, %r31, 24 
90092 
5и6_11064С 


ехії 
# CODE XREF: check3+2A4j 


%r3, 1 
exit 


loc_1189F8: # CODE XREF: check3+29Cj 


lwz 


nop 
clrlwi. 
beq 

li 

b 


%гб, Чмога_248704 
%г4, %5р, Өх50+маг 18 
%r3, 5 

%г5, 0 

. RBEREAD 


%г0, %r3, 16 
1ос 118420 
%г3, 0 

ехії 


1ос 118А20: # CODE XREF: сһеск3+208] 


thz 
cmplwi 
bne 

li 

b 


%г0, 0x50+var_18(%sp) 
%г0, 0xD300 

Тос 118А34 

%г31, 1 

90091 


1ос 118А34: # CODE XREF: check3+2ECj 


cmplwi 
beq 

li 

b 


90041 : 


clrlwi 
cmplwi 
bne 
clrlwi. 


%г0, ОхЕВА1 
дооа1 

%г3, 0 

ехії 


# CODE XREF: check3+2F4j 
# check3+2FCj 

%гО, %r29, 24 

%r0, 3 

error 

%г0, %r31, 24 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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5е9000:00118454 41 82 00 10 бед good 

seg000:00118A58 48 00 4B F5 bl sub 11064С 
seg000:00118A5C 60 00 00 00 пор 

5е9000:00118А60 48 00 00 10 b ехії 

ѕед000 : 00118А64 

seg000 : 00118А64 дооа: # CODE XREF: check3+318j 
seg000:00118A64 38 60 00 01 li %r3, 1 

seg000:00118A68 48 00 00 08 b exit 

seg000:00118A6C 

seg000:00118A6C error: # CODE XREF: check3+19Cj 
seg000:00118A6C # check3+238j 
seg000:00118A6C 38 60 00 00 li %r3, 0 

5е9000:00118А70 

5е9000:00118А70 ех1ї: # CODE XREF: сһеск3+44) 
$е0000:00118А70 # check3+58j 
5е9000:00118А70 80 01 00 58 lwz %г0, Өх50+агд 8 (%5р) 
ѕед000:00118А74 38 21 00 50 addi %5р, %5р, 0х50 
5е9000:00118А78 83 Е1 FF ЕС lwz %г31, var_4(%sp) 
seg000:00118A7C 7C 08 03 A6 mtlr %г0 

5е9000:00118А80 83 C1 FF F8 lwz %r30, var_8(%sp) 
seg000:00118A84 83 А1 FF F4 lwz %r29, var_C(%sp) 
seg000:00118A88 4E 80 00 20 blr 

5е9000:00118А88 # Епа of function check3 


Здесь много вызовов .RBEREAD(). Эта функция, должно быть, читает какие-то 
значения из донглы, которые потом сравниваются здесь при помощи СМРІМІ. 


Мы также видим в регистр r3 записывается перед каждым вызовом .ВВЕВЕАР ( ) 
одно из этих значений: 0, 1, 8, ОХА, ОхВ, ОхС, 0х0, 4, 5. Вероятно адрес в памяти 
или что-то в этом роде? 


Да, действительно, если погуглить имена этих функций, можно легко найти 
документацию K Sentinel Eve3! 


Наверное, уже и не нужно изучать остальные инструкции PowerPC: всё что де- 
лает эта функция это просто вызывает .RBEREAD ( ), сравнивает его результаты 
с константами и возвращает 1 если результат сравнения положительный или 
0 в другом случае. 


Всё ясно: сһеск1() должна всегда возвращать 1 или иное ненулевое значе- 
ние. Но так как мы не очень уверены в своих знаниях инструкций PowerPC, 
будем осторожны и пропатчим переходы в сһесК2 на адресах 0х001186ЕС и 
0х00118718. 


На 0х001186ЕС мы записываем байты 0x48 и 0 таким образом превращая nH- 
струкцию ВЕО в инструкцию В (безусловный переход): мы можем заметить этот 
опкод прямо в коде даже без обращения к [РомегРС(ёт) Microprocessor Family: 
Тһе Programming Environments for 32-Bit Microprocessors, (2000)]1?. 


На 0x00118718 мы записываем байт 0x60 иеще 3 нулевых байта, таким образом 
превращая её в инструкцию МОР: Этот опкод мы также можем подсмотреть 
прямо в коде. 


15Также доступно здесь: һїїр: //уиг1 спем . сот/тіггогѕ/РомегРС/бхх рет. pdf 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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И всё заработало без подключенной донглы. 


Резюмируя, такие простые модификации можно делать в IDA даже с минималь- 
ными знаниями ассемблера. 


8.6.2. Пример #2: SCO OpenServer 


Древняя программа для SCO OpenServer от 1997 разработанная давно исчез- 
нувшей компанией. 


Специальный драйвер донглы инсталлируется в системе, он содержит такие 
текстовые строки: «Copyright 1989, Rainbow Technologies, Inc., Irvine, СА» и «Sentinel 
Integrated Driver Ver. 3.0 ». 


После инсталляции драйвера, в /dev появляются такие устройства: 


/dev/rbsl8 
/dev/rbsl9 
/dev/rbsl10 


Без подключенной донглы, программа сообщает об ошибке, но сообщение об 
ошибке не удается найти в исполняемых файлах. 


Еще раз спасибо IDA, она легко загружает исполняемые файлы формата COFF 
использующиеся в SCO OpenServer. 


Попробуем также поискать строку «г651», и действительно, её можно найти в 
таком фрагменте кода: 


. text : 00022AB8 public SSQC 
.text:00022AB8 SSQC proc near ; CODE XREF: SSQ+7p 
. text : 00022АВ8 

.text:00022AB8 уаг_44 = byte ptr -44h 
.text:00022AB8 var_29 = byte ptr -29h 
.text:00022AB8 arg © = dword ptr 8 

. text : 00022АВ8 

. text: 00022АВ8 push ebp 

. text: 00022АВ9 mov ebp, esp 

. text: 00022ABB sub esp, 44h 

. text :00022ABE push edi 

. text : 00022АВЕ mov edi, offset ипк 403500 
. text: 00022АС4 push esi 

. text: 00022АС5 mov esi, [ebp+arg_0] 
. text: 00022АС8 push ebx 

. text: 00022АС9 push esi 

. text: 00022АСА call strlen 

. text: 00022АСЕ add esp, 4 

. text: 00022AD2 cmp eax, 2 

. text :00022AD7 jnz loc_22BA4 

. text: 00022Арр inc esi 
.text:00022ADE mov al, [esi-1] 
.text:00022AE1 movsx eax, al 

. text: 00022АЕ4 cmp eax, '3' 

. text : 00022АЕ9 jz loc_22B84 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
:00022B0C 


.text 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
:00022B3A 


.text 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
: 00022854 


.text 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
:00022B71 


.text 


.text: 
.text: 
.text: 
.text: 


00022AEF 
00022AF4 
00022AFA 
00022AFF 
00022B01 
00022B04 
00022B07 


00022B0E 
00022B0F 
00022B12 
00022B17 
00022B18 
00022B1D 
00022B1F 
00022B24 
00022B29 
00022B2C 
00022B31 
00022B33 
00022B36 
00022B37 


00022B3F 
00022B40 
00022B45 
00022B48 
00022B48 
00022B48 
00022B4A 
00022B4C 
00022B4E 
00022B4F 


00022B57 
00022B57 
00022B57 
00022B59 
00022В5С 
00022B5D 
00022B62 
00022B65 
00022B67 
00022B69 
00022B6B 
00022B6B 
00022B6B 
00022B70 


00022B72 
00022B73 
00022B75 
00022B76 


eax, '4' 
loc_22B94 
eax, '5' 


short loc_22B6B 


movsx ерх, byte ptr [esi] 


loc_22B48: 
mov 
test 
jle 
push 
call 
add 


loc 22857: 
push 
lea 
push 
call 
add 
test 
mov 
jge 

loc _22B6B: 
mov 
pop 
pop 
pop 
mov 
pop 
retn 


ebx, '0' 

eax, 7 

eax, ebx 

eax 

eax, [ebp+var_44] 

offset арем510 ; "/dev/sl%d" 
eax 

nl_sprintf 

0 simt 
offset aDevRbsl8 ; char * 
_access 

esp, 14h 

eax, OFFFFFFFFh 

short loc_22B48 

eax, [ebx+7] 

eax 

eax, [ebp+var_44] 

offset aDevRbslD ; "/деу/грѕ1%а" 
eax 

nl_sprintf 

esp, OCh 


; CODE XREF: SSQC+79j 
edx, [edi] 
edx, edx 
short loc_22B57 
edx ; int 
_close 
esp, 4 


; CODE XREF: SSQC+94j 
2 ; int 
eax, [ebp+var_44] 
eax ; char * 
_ореп 
еѕр, 8 
еах, еах 
[edi], eax 
short loc_22B78 


; CODE XREF: SSQC+47j 
eax, OFFFFFFFFh 
ebx 
esi 
edi 
esp, ebp 
ebp 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
:00022B7F 


.text 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
: 00022894 


.text 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
:00022ВА4 


.text 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
:00022BD6 


.text 


.text: 
.text: 
.text: 
.text: 


00022B78 
00022B78 
00022B78 
00022B79 
00022B7A 
00022B7B 
00022B7D 


00022B80 
00022B84 
00022B84 
00022B84 
00022B86 
00022B87 
00022B88 
00022B89 
00022B8E 
00022B90 
00022B92 
00022B93 
00022B94 
00022B94 


00022B96 
00022B97 
00022B98 
00022B99 
00022B9E 
00022BA0 
00022BA2 
00022BA3 
00022BA4 
00022BA4 


00022BAB 
00022BAC 
00022BAD 
00022BB4 
00022BB5 
00022BB8 
00022BBD 
00022BBE 
00022BC3 
00022BC6 
00022BC7 
00022BCC 
00022BCF 
00022BD4 


00022BDA 
00022BDA 
00022BDA 
00022BDD 


loc_22B78: ; CODE XREF: SSQC+B1j 


pop 
pop 
pop 
хог 
mov 
pop 
retn 


ebx 
esi 
edi 
eax, eax 
esp, ebp 
ebp 


loc_22B84: ; CODE XREF: SSQC+31j 


mov 
pop 
pop 
pop 
mov 
mov 
xor 
pop 
retn 


al, [esi] 

ebx 

esi 

edi 
ds:byte_407224, al 
esp, ebp 

eax, eax 

ebp 


loc_22B94: ; CODE XREF: SSQC+3Cj 


mov 
pop 
pop 
pop 
mov 
mov 
xor 
pop 
retn 


al, [esi] 

ebx 

esi 

edi 
ds:byte_407225, al 
esp, ebp 

eax, eax 

ebp 


loc_22BA4: ; CODE XREF: SSQC+1Fj 


movsx 
push 
push 
movsx 
push 
lea 
push 
push 
call 
lea 
push 
call 
add 
cmp 
jle 
mov 


eax, й5:буїе 407225 
еѕі 

еах 

eax, а5:Буте 407224 
еах 

eax, [ебр+уаг 44] 
offset а46СС5 ; "46%с%с%5" 
еах 

nl_sprintf 

eax, [ebp+var_44] 
eax 

strlen 

esp, 18h 

eax, 1Bh 

short loc_22BDA 
[ebp+var_29], 0 


loc_22BDA: ; CODE XREF: SSQC+11Cj 


lea 
push 


eax, [ebp+var_44] 
eax 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 


00022BDE 
00022BE3 
00022BE4 
00022BE7 
00022BE8 
00022BEA 
00022BEB 
00022BF0 
00022BF3 
. text :00022BF4 
. text :00022BF5 
. text :00022BF6 
. text:00022BF8 
. text :00022BF9 
. text :00022BFA 
. text: 00022ВҒА 


call 
push 
lea 
push 
mov 
push 
call 
add 
pop 
pop 
pop 
mov 
pop 
retn 


strlen 

eax ; unsigned int 
eax, [ebp+var_44] 

eax ; void * 
eax, [edi] 

eax ; irt 
write 

esp, 10h 

ebx 

esi 

edi 

esp, ebp 

ebp 


db OEh dup(90h) 


550С епар 


Действительно, должна же как-то программа обмениваться информацией с 


драйвером. 


Единственное место где вызывается функция 550С () это thunk function: 


. text: 0000DBE8 
. text: 0000DBE8 
. text: 0000DBE8 
. text: 0000DBE8 
. text: 0000DBE8 
. text: 0000DBE8 
. text: 0000DBE8 
. text: 0000DBE9 
. text : 0000рВЕВ 
. text: 0000рВЕЕ 
. text: 0000DBEF 
. text : 0000рВЕ4 
. text: 0000DBF7 
. text :0000DBF9 
. text: 0000DBFA 
. text : 0000DBFB 


public SSQ 


SSQ 


proc near ; 


CODE XREF: 


sys_info+A9p 


; sys іпғо+СВр ... 


arg © = dword ptr 8 
push ebp 
mov ebp, esp 
mov edx, [ebp+arg_0] 
push edx 
call SSQC 
add esp, 4 
mov esp, ebp 
pop ebp 
retn 

SSQ endp 


A BOT SSQ() может вызываться по крайней мере из двух разных функций. 


Одна из них: 


.Чата:0040169С 
DATA XREF: 
.data:0040169C 
.data:0040169C 
CONTINUE: 
.Чата:004016А0 
.Чата:004016А4 
.Чата:004016А8 


и 


_51 52 53 
init 5у5+392г 


dd offset аРгез5АпуКеут 0 ; 


dd offset a51 
dd offset a52 
dd offset a53 


; sys 1пТо+А1г 
; "PRESS ANY KEY TO 


; "51" 
; "52" 
; "53" 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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.Чата:00401688 3C ог ЗЕ 


5у5 1пто:10с 067Вг 


.ааїа: 00401688 
.ааїа: 004016ВС 


эти имена мы сами дали этим меткам: 
.аӢа+а:004016С0 апѕмегѕ1 


sys_info+E7r 


.data:004016C4 
.data:004016C8 answers2 


sys_info+F2r 


.data:004016CC 
.data:004016D0 С апа В 


sys_info+BAr 


.data:004016D0 
.data:004016D1 byte 401601 


DATA XREF: sys_info+FDr 


.data:004016D2 


.text: 
.text: 
.text 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 


0000D652 
09000654 
:00000659 
00000660 
00000661 
00000666 
00000669 
0000066Е 
00000670 
:00000672 
00000677 
00000679 
0000067В 
0000067В 
0000067В 
00000682 
00000683 
00000688 
0000068р 
00000692 
00000697 
0000069 
09000692 
000006А6 
:000006А8 
090006АА 
00000681 
00000683 
09000685 
0000D6BB 
0000D6BC 
0000D6BE 
0000D6C0 


loc 067В: ; 


dd offset a3c ; DATA XREF: 
ЭС 

dd offset a3e ЗЕ? 

dd 6B05h ; DATA XREF: 

dd 3D87h 

dd 3Ch ; DATA XREF: 

dd 832h 

db OCh ; DATA XREF: 
; sys іпҒо:ОКг 

db OBh ; 

db 0 

хог еах, еах 

mov al, ds:ctl_port 

mov ecx, 51 52 53[еахж4] 

push ecx 

call SSQ 

add esp, 4 

cmp eax, OFFFFFFFFh 

jz short loc_D6D1 

xor ebx, ebx 

mov al, C and B 

test al, al 

jz short loc р6С0 

CODE XREF: sys info+106j 

mov eax, ЗС ог ЗЕ[ебхж4] 

push eax 

call SSQ 

push offset a4g ; "4G" 

call SSQ 

push offset a0123456789 ; "0123456789" 

call SSQ 

add esp, OCh 

mov edx, апѕмегѕ1[ебхж4] 

cmp eax, edx 

jz short ОК 

mov ecx, answers2[ebx*4] 

cmp eax, ecx 

jz short ОК 

mov al, byte 401601[ебх] 

inc ebx 

test al, al 

jnz short loc_D67B 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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.text:0000D6C0 loc D6C0: ; CODE XREF: sys info+C1j 


. text: 0000D6C0 inc ds:ctl_port 

. text: 0000D6C6 xor eax, eax 

. text : 0000D6C8 mov al, ds:ctl_port 
. text: 0000D6CD cmp eax, edi 

. text: 0000D6CF jle short loc 0652 


.text:0000D6D1 
.text:0000D6D1 loc_D6D1: ; CODE XREF: sys_info+98j 


.text:0000D6D1 ; sys іпғо+В6ј 

. text :0000D6D1 mov edx, [ebp+var 8] 
. text : 0000D6D4 inc edx 

. text :0000D6D5 mov [ebp+var_8], edx 
. text: 00000608 cmp edx, 3 

. text : 0000D6DB jle loc 0641 


. text :0000D6E1 
.text:0000D6E1 Лос 06Е1: ; CODE XREF: sys info+16j 


. text : 0000р6Е1 ; sys _info+51j 

.text:0000D6E1 pop ebx 

. text : 000006Е2 pop edi 

. text : 0000D6E3 mov esp, ebp 

. text: 0000р6Е5 pop ebp 

. text: 0000р6Е6 retn 

.text:0000D6E8 ОК: ; CODE XREF: sys info+F0j 

. text : 0000D6E8 ; sys info+FBj 

. text : 0000D6E8 mov al, _С and_B[ebx] 
. text: 0000рбЕЕ pop ebx 

. text: 0000рбЕҒ pop edi 

. text :0000D6F0 mov ds:ctl model, al 
. text: 00000625 mov esp, ebp 

. text: 0000D6F7 pop ebp 

. text: 0000D6F8 retn 

.text:0000D6F8 sys_info endp 


«ЗС» и «ЗЕ» — это звучит знакомо: когда-то была донгла Sentinel Pro от Rainbow 
без памяти, предоставляющая только одну секретную крипто-хеширующую 
функцию. 


О том, что такое хэш-функция, было описано здесь: 2.5 (стр. 586). 


Но вернемся к нашей программе. Так что программа может только проверить 
подключена ли донгла или нет. Никакой больше информации в такую донглу 
без памяти записать нельзя. Двухсимвольные коды — это команды (можно уви- 
деть, как они обрабатываются в функции 550С()) а все остальные строки хеши- 
руются внутри донглы превращаясь в 16-битное число. Алгоритм был секрет- 
ный, так что нельзя было написать замену драйверу или сделать электронную 
копию донглы идеально эмулирующую алгоритм. С другой стороны, всегда 
можно было перехватить все обращения к ней и найти те константы, с которы- 
ми сравнивается результат хеширования. Но надо сказать, вполне возможно 
создать устойчивую защиту от копирования базирующуюся на секретной хеш- 
функции: пусть она шифрует все файлы с которыми ваша программа работает. 


Но вернемся к нашему коду. 
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пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


1063 
Коды 51/52/53 используются для выбора номера принтеровского ІРТ-порта. 
3х/4х используются для выбора «family» так донглы Sentinel Pro можно отли- 
чать друг от друга: ведь более одной донглы может быть подключено к LPT- 
порту. 


Единственная строка, передающаяся в хеш-функцию это 
"0123456789". Затем результат сравнивается с несколькими правильными зна- 
чениями. 


Если результат правилен, ОхС или 0хВ будет записано в глобальную перемен- 
ную сї1_тоде1. 


Еще одна строка для хеширования: "РКЕЅ5 ANY KEY ТО CONTINUE: ”, но резуль- 
тат не проверяется. Трудно сказать, зачем это, может быть по ошибке 16. 


Давайте посмотрим, где проверяется значение глобальной переменной ctl model. 


Одно из таких мест: 


.Хехї:00000708 ргер ѕуѕ proc near ; CODE XREF: init 5уѕ+46Ар 
. text : 00000708 

.text:0000D708 var_14 
.text:0000D708 var 10 


dword ptr -14h 
byte ptr -10h 


.text:0000D708 var 8 dword ptr -8 

.text:0000D708 var 2 word ptr -2 

. text : 00000708 

. text: 00000708 push ebp 

. text : 00000709 mov eax, ds:net_env 

. text: 0000070Е mov ebp, esp 

.text:0000D710 sub esp, 1Ch 

. text : 0000D713 test eax, eax 

. text: 00000715 jnz short loc 0734 

. text :0000D717 mov al, ds:ctl_model 

.text:0000D71C test al, al 

. text :0000D71E jnz short loc_D77E 

. text:0000D720 mov [ebp+var_8], offset aIeCvulnvvOkgT_ ; 
"Ie-cvulnvV\\\bOKG]T " 

„.Техт: 00000727 mov edx, 7 

. text: 0000D72C jmp 1ос р7Е7 


.text:0000D7E7 Лос р7Е7: ; CODE XREF: prep ѕуѕ+24ј 


. text :0000D7E7 ; prep 5у5+33] 

. text: 0000р7Е7 push edx 

. text: 0000D7E8 mov edx, [ebp+var 8] 

. text: 0000D7EB push 20h 

. text: 000007Ер push edx 

. text: 0000D7EE push 16h 

. text: 0000D7F0 call err_warn 

. text: 000007Е5 push offset station сет 
. text: 000007ҒА call ClosSem 

. text: 0000D7FF call startup_err 


16Это очень странное чувство: находить ошибки в столь древнем ПО. 
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Если оно 0, шифрованное сообщение об ошибке будет передано в функцию 
дешифрования, и оно будет показано. 


Функция дешифровки сообщений об ошибке похоже применяет простой xoring 


. text: 0000A43C егг магп proc near ; CODE XREF: 
prep_sys+E8p 
. text : 0000A43C ; prep 5у52+2Ер ... 


. text : 0000A43C 

. text :00004A43C var_55 
. text :0000A43C var 54 
. text :0000A43C аго_0 
. text :0000A43C arg_4 
. text: 0000A43C arg_8 
. text: 0000А43С arg_C 
. text : 0000A43C 


byte ptr -55h 
byte ptr -54h 
dword ptr 8 

dword ptr 0Сһ 
dword ptr 10h 
dword ptr 14h 


. text : 0000A43C push ebp 

. text : 0000A43D mov ebp, esp 

. text : 0000АДЗҒ sub esp, 54h 

. text : 00004442 push edi 

. text : 00004443 mov ecx, [ebp+arg_8] 

. text: 00004446 xor edi, edi 

. text : 00004448 test ecx, ecx 

. text : О000АДДА push esi 

. text : 0000A44B jle short loc_A466 

. text: 0000A44D mov esi, [ebp+arg_C] ; key 

. text: 00004450 mov edx, [ebp+arg_4] ; string 

. text : 00004453 

.text:0000A453 loc А453: ; CODE XREF: 
err_warn+28j 

. text : 00004453 xor eax, eax 

. text: 00004455 mov al, [edx+edi] 

. text: 00004458 xor eax, esi 

. text: 0000А45А add esi, 3 

. text : 0000А45р inc edi 

. text : 0000А45Е cmp edi, ecx 

. text :0000A460 mov [ebp+edi+var_55], al 

. text : 00004464 jl short 1ос_А453 

. text: 00004466 

.text:0000A466 loc А466: ; CODE XREF: 
err warn+Fj 

. text : 00004466 mov [ebp+edi+var_54], 0 

. text : 0000A46B mov eax, [ebp+arg_0] 

. text : 0000А46Е cmp eax, 18h 

. text : 00004473 jnz short loc_A49C 

. text: 0000A475 lea eax, [ebp+var_54] 

. text : 0000A478 push eax 

. text : 00004479 call status_line 

. text: 0000А47Е add esp, 4 

. text: 00004481 

.text:0000A481 loc А481: ; CODE XREF: 
err warn+72j 

. text: 00004481 push 50h 

. text : 00004483 push 0 

‚техї:0000А485 lea eax, [ebp+var_54] 
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. text: 00004488 push eax 

. text : 00004489 call memset 

. text : 0000A48E call pcv_refresh 

. text : 00004493 add esp, OCh 

. text: 0000A496 pop esi 

. text : 00004497 pop edi 

. text : 0000A498 mov esp, ebp 

. text: 0000A49A pop ebp 

. text : 0000А49В retn 

. text: 0000А49С 

.text:0000A49C loc А49С: ; CODE XREF: 
err_warn+37j 

. text: 0000А49С push 0 

. text : 0000A49E lea eax, [ebp+var_54] 

. text: 0000АДА1 mov edx, [ebp+arg_0] 

. text : 0000А4А4 push edx 

. text: 0000A4A5 push eax 

. text : 0000A4A6 call pcv_lputs 

. text : 0000A4AB add esp, OCh 

. text : 0000A4AE jmp short loc А481 

. text :0000A4AE err_warn endp 


Вот почему не получилось найти сообщение об ошибке в исполняемых файлах, 
потому что оно было зашифровано, это очень популярная практика. 


Еще один вызов хеширующей функции передает строку «оп» и сравнивает 
результат с константами ӨхЕЕ81 и 0х12А9. Если результат не сходится, проис- 
ходит работа с какой-то функцией 11тег() (может быть для ожидания плохо 
подключенной донглы и нового запроса?), затем дешифрует еще одно сообще- 
ние об ошибке и выводит его. 


.text:0000DA55 Лос рА55: ; CODE XREF: 
sync sys+24Cj ^ 

. text: 0000рА55 push offset a0ffln ; "offln" 

. text: 0000DA5A call SSQ 

. text: 0000DA5F add esp, 4 

. text : 00000А62 mov dl, [ebx] 

. text : 0000DA64 mov esi, eax 

. text: 0000DA66 cmp dl, OBh 

. text : 0000DA69 jnz short loc рА83 

. text : 0000DA6B cmp esi, ОРЕЗТН 

.text:0000DA71 jz OK 

. text: 0000рА77 cmp esi, OFFFFF8EFh 

. text: 0000рА7р jz ок 

. text : 0000DA83 

.text:0000DA83 loc рА83: ; CODE XREF: 
sync sys+201j ^ 

. text : 0000DA83 mov cl, [ebx] 

. text : 00000А85 cmp cl, OCh 

. text : 0000DA88 jnz short loc БАЗЕ 

. text: 0000DA8A cmp esi, 12A9h 

. text : 00000А90 jz OK 

. text: 00000А96 cmp esi, OFFFFFFF5h 

. text : 00000А99 jz OK 
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.text: 
.text: 


0000DA9F 
0000рА9Е Лос РА9Е: 


sync 5у5+220] 


.text: 
.text: 
.text: 
.text: 
.text: 
: 0000DAAD 


.text 


.text: 
.text: 


0000DA9F 
0000DAA2 
0000DAA4 
0000DAA6 
0000DAA8 


0000DABO 
0000DABO Лос DABO: 


sync sys+23Cj 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 


.text: 


0000DABO 
0000DAB1 
0000DAB4 
0000DAB6 
0000DABB 
0000DABD 


0000DAF7 error: 


sync 5у5+255]ј 


„text: 
.text: 

„ encrypted_error_message2 
.text: 
„text: 


0000DAF7 
0000DAF7 


0000DAFE 
0000DB05 


mov 
test 
jz 
push 
call 
add 


inc 
cmp 
jle 
mov 
test 
jz 


mov 


mov 
jmp 


; это имя мы сами дали этой метке: 
.text:0000D9B6 Чесгурф епа ргіпі теѕѕаде: ; CODE XREF: 
sync sys+29Dj 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 


0000D9B6 
0000D9B6 
0000D9B9 
0000D9BB 
0000D9BD 
0000D9C0 
0000D9C3 
0000D9C4 
0000D9C6 
0000D9C7 
0000D9C9 
0000D9CE 
0000D9D0 
00000905 
0900090А 
000009Е1 
000009Е4 
000009Е9 
0000D9EB 


mov 
test 
jnz 
mov 
mov 
push 
push 
push 
push 
call 
push 
push 
call 
mov 
add 
call 
test 
jz 


; CODE XREF: 
eax, [ебр+уаг 18] 
еах, еах 
short 1ос РАВО 
24h 
timer 
esp, 4 
; CODE XREF: 
edi 
edi, 3 
short loc_DA55 
eax, ds:net_env 
eax, eax 
short error 
; CODE XREF: 


; sync_sys+274j 
[ebp+var 8], offset / 


[ebp+var_C], 17h ; decrypting key 
decrypt_end_print_message 


; sync_sys+2ABj 
eax, [ебр+уаг 18] 
еах, еах 
short 1ос РЕВ 
edx, [ебр+уаг С] ; key 
ecx, [ебр+уаг 8] ; string 
edx 
20h 
ecx 
18h 
err_warn 


[ebp+var_18], 1 
esp, 18h 
pcv_kbhit 

eax, eax 

short loc_D9FB 
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‚ это имя мы сами дали этой метке: 
.даа:00401736 епсгурїеа еггог теѕѕаде2 db 74h, 72h, 78h, 43h, 48h, 6, БАҺһ, 2 
є 49h, 4Ch, 2 аир(47һ) 


.да+а: 00401736 db 51h, 4Fh, 47h, 611, 20h, 22h, 3Ch, 241, к 
> 33h, 36h, 76h 

.data:00401736 db ЗАП, 33h, 31h, ӨСһ, 0, ӨВһ, 1Fh, 7, 1Eh, р 
S 1Ah 


Заставить работать программу без донглы довольно просто: просто пропат- 
чить все места после инструкций СМР где происходят соответствующие срав- 
нения. 


Еще одна возможность — это написать свой драйвер для SCO OpenServer, co- 
держащий таблицу возможных вопросов и ответов, все те что имеются в про- 
грамме. 


Дешифровка сообщений об ошибке 


Кстати, мы также можем дешифровать все сообщения об ошибке. Алгоритм, 
находящийся в функции егг магп() действительно, крайне прост: 


Листинг 8.5: Функция дешифровки 


. text: 0000A44D mov esi, [ebp+arg_C] ; key 

. text: 00004450 mov edx, [ebp+arg_4] ; string 

.text:0000A453 loc А453: 

. text : 00004453 xor eax, eax 

. text: 00004455 mov al, [edx+edi] ; загружаем байт для 
дешифровки 

‚техї:0000А458 хог еах, еѕі ; дешифруем его 

. text :0000A45A add esi, 3 ; изменяем ключ для 
следующего байта 

. text : 00004450 inc edi 

. text : 0000А45Е cmp edi, ecx 

. text :0000A460 mov [ebp+edi+var_55], al 

. text : 00004464 jl short 1ос_А453 


Как видно, не только сама строка поступает на вход, но также и ключ для 
дешифровки: 


. text :0000DAF7 error: ; CODE XREF: 
sync 5у5+255]ј 
. text: 0000DAF7 ; sync 5у5+274) 
. text : 0000DAF7 mov [ebp+var 8], offset / 
„ encrypted_error_message2 
. text: 0000DAFE mov [ebp+var_C], 17h ; decrypting key 
. text: 0000DB05 jmp decrypt_end_print_message 


; это имя мы сами дали этой метке: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


1068 


.text:0000D9B6 Чесгурф епа ргіпі теѕѕаде: ; CODE XREF: 
sync sys+29Dj 

. text: 0000D9B6 ; sync sys+2ABj 

. text : 0000D9B6 mov eax, [ебр+уаг 18] 

. text : 0000D9B9 test eax, eax 

. text : 0000D9BB jnz short loc_D9FB 

. text : 0000D9BD mov edx, [ebp+var С] ; key 

. text: 000009с0 mov ecx, [ebp+var_8] ; string 

. text: 0000D9C3 push edx 

. text: 0000D9C4 push 20h 

. text: 0000D9C6 push ecx 

. text: 0000D9C7 push 18h 

. text : 0000D9C9 call err магп 


Алгоритм это очень простой xoring: каждый байт ХОВ-ится с ключом, но ключ 
увеличивается на 3 после обработки каждого байта. 


Напишем небольшой скрипт на Ру{Поп для проверки наших догадок: 


Листинг 8.6: Python 3.x 


#1 /иѕг/біп/руїћоп 
import sys 


msg=[0x74, 0x72, 0x78, 0x43, 0x48, 0x6, 0x5A, 0x49, 0x4C, 0x47, 0x47, 
0x51, 0x4F, 0x47, 0x61, 0x20, 0x22, 0x3C, 0x24, 0x33, 0x36, 0x76, 
0x3A, 0x33, 0x31, 0х0С, 0х0, 0x0B, 0x1F, 0x7, 0х1Е, 0х1А] 


key=0x17 

tmp=key 

for i in msg: 
sys.stdout.write ("%c" % (i^tmp)) 
tmp=tmp+3 

sys.stdout.flush() 


И он выводит: «check security device connection». Так что да, это дешифрован- 
ное сообщение. 


Здесь есть также и другие сообщения, с соответствующими ключами. Но надо 
сказать, их можно дешифровать и без ключей. В начале, мы можем заметить, 
что ключ — это просто байт. Это потому что самая важная часть функции де- 
шифровки (ХОВ) оперирует байтами. Ключ находится в регистре ЕЅІ, но только 
младшие 8 бит (т.е. байт) регистра используются. Следовательно, ключ может 
быть больше 255, но его значение будет округляться. 


И как следствие, мы можем попробовать обычный перебор всех ключей в диа- 
пазоне 0..255. Мы также можем пропускать сообщения содержащие непечат- 
ные символы. 


Листинг 8.7: Python 3.x 


#1 /иѕг/біп/руїћоп 
import sys, сигѕеѕ.аѕсіі 


msgs=[ 
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[0х74, 0x72, 0x78, 0x43, 0x48, 0х6, 0x5A, 0x49, 0x4C, 0x47, 0x47, 
0x51, 0x4F, 0x47, 0x61, 0x20, 0x22, 0x3C, 0x24, 0x33, 0x36, 0x76, 
0x3A, 0x33, 0x31, 0х0С, 0x0, 0x0B, 0x1F, 0х7, 0х1Е, 0х1А], 


[0x49, 0x65, 0x2D, 0x63, 0x76, 0x75, 0x6C, 0x6E, 0x76, 0x56, 0x5C, 
8, 0x4F, 0x4B, 0x47, 0x5D, 0x54, 0x5F, 0x1D, 0x26, 0x2C, 0x33, 
0x27, 0x28, 0x6F, 0x72, 0x75, 0x78, 0x7B, 0x7E, 0x41, 0x44], 


[0x45, 0x61, 0x31, 0x67, 0x72, 0x79, 0x68, 0x52, 0x4A, 0x52, 0x50, 
0x0C, 0x4B, 0x57, 0x43, 0x51, 0x58, 0x5B, 0x61, 0x37, 0x33, 0x2B, 
0x39, 0x39, 0x3C, 0x38, 0x79, 0x3A, 0x30, 0x17, 0x0B, 0x0C], 


[0x40, 0x64, 0x79, 0x75, 0x7F, 0x6F, 0x0, 0x4C, 0x40, 0х9, 0x4D, Ох5А, 
0x46, 0x5D, 0x57, 0x49, 0x57, 0x3B, 0x21, 0x23, 0x6A, 0x38, 0x23, 
0x36, 0x24, 0x2A, 0x7C, 0x3A, 0x1A, 0x6, 0х00, 0x0E, 0х0А, 0x14, 
0x10], 


[0x72, 0x7C, 0x72, 0x79, 0x76, 0x0, 

0x50, 0x43, 0x4A, 0x59, 0x5D, 0x5B, 0x41, 0x41, 0х1В, 0x5A, 

0x24, 0x32, 0x2E, 0x29, 0x28, 0x70, 0x20, 0x22, 0x38, 0x28, 0x36, 
0x0D, ОхОВ, 0x48, 0x4B, 0x4E]] 


def is_string_printable(s): 
return all(list(map(lambda x: curses.ascii.isprint(x), s))) 


cnt=1 
for msg in msgs: 
print ("message #%d" % cnt) 
for key in range(0,256): 
result=[] 
tmp=key 
for i in msg: 
result.append (i^tmp) 


tmp=tmp+3 
if is_string_printable (result): 
print ("key=", key, "value=", "".)о1п (115+ (тар (СНГ, г 


„ геѕи1+)))) 
cnt=cnt+1 


И мы получим: 


Листинг 8.8: Results 


пеѕѕаде #1 

Кеу= 20 value= `eb^h%|``hudw|_af{n~f%ljmSbnwlpk 
Кеу= 21 value= ajc]i"}cawtgv{^bgto}g"millcmvkqh 
Кеу= 22 value= bkd\j#rbbvsfuz!cduh|d#bhomdlujni 
Кеу= 23 value= check security device connection 
key= 24 value= lifbl!pd|tqhsx#ejwjbb!`nQofbshlo 
message #2 

key= 7 value= No security device found 

key= 8 value= An#rbbvsVuz!cduhld#ghtme?!#!'!#! 
message #3 
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Кеу= 7 value= Вк<маод№0ри$`угеоа\мртриѕј,ЬКІјһ 
Кеу= 8 value= Mj?vfnrOjqv%gxqd``_ vwlstlk/clHii 
key= 9 value= Lm>ugasLkvw&fgpgag^uvcrwml. ` тмһ ј 
key= 10 value= Ol!td`tMhwx'efwfbf!tubuvnm!anvok 
key= 11 value= No security device station found 
Кеу= 12 value= In#rjbvsnuz!{duhdd#r{`whho#gPtme 
message #4 

key= 14 value= Number of authorized users exceeded 
key= 15 value= Ovlmdq!hg#`juknuhydk!vrbsp!Zy`dbefe 
message #5 

key= 17 value= check security device station 

key= 18 value= `ijbh!td`tmhwx'efwfbf!tubuVnn! '! 


Тут есть какой-то мусор, HO мы можем быстро отыскать сообщения на англий- 
ском языке! 


Кстати, так как алгоритм использует простой XOR, та же функция может nC- 
пользоваться и для шифрования сообщения. Если нужно, мы можем зашифро- 
вать наши собственные сообщения, и пропатчить программу вставив их. 


8.6.3. Пример #3: MS-DOS 


Еще одна очень старая программа для MS-DOS от 1995 также разработанная 
давно исчезнувшей компанией. 


Во времена перед 005-экстендерами, всё ПО для MS-DOS рассчитывалось на 
процессоры 8086 или 80286, так что в своей массе весь код был 16-битным. 
16-битный код в основном такой же, какой вы уже видели в этой книге, но все 
регистры 16-битные, и доступно меньше инструкций. 


Среда MS-DOS не могла иметь никаких драйверов, и ПО работало с «голым» 
железом через порты, так что здесь вы можете увидеть инструкции О0Т/ІМ, 
которые в наше время присутствуют в основном только в драйверах (в совре- 
менных OS нельзя обращаться на прямую к портам из user mode). 


Учитывая это, ПО для MS-DOS должно работать с донглой обращаясь к принтер- 
ному ІРТ-порту напрямую. Так что мы можем просто поискать эти инструкции. 
И да, вот они: 


seg030 : 0034 out_port proc far ; CODE XREF: sent рго+22р 
seg030 : 0034 ; sent рго+2Ар ... 
seg030 : 0034 

seg030 : 0034 аго_0 = byte ptr 6 

seg030 : 0034 

seg030:0034 55 push bp 

seg030:0035 8B EC mov bp, sp 

seg030:0037 8B 16 7E E7 mov dx, _out_port ; 0x378 
seg030:003B 8A 46 06 mov al, [bp+arg_0] 
seg030:003E ЕЕ out dx, al 

seg030:003F 5р pop bp 

seg030:0040 CB retf 

ѕед030 :0040 out_port endp 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


1071 


(Все имена меток в этом примере даны мною). 


Функция out_port() вызывается только из одной функции: 


ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 


:0041 
:0041 
:0041 
:0041 
:0041 
:0041 
:0041 
:0045 
:0046 
:0047 
:004В 
:004С 
:004Е 
:0051 
:0054 
:0056 
:0059 
:005С 
:005Е 
:005Е 
:0062 
:0063 
:0066 
:0067 
:006А 
:006В 
:006Е 
:006Е 
:0071 
:0073 
:0073 
:0073 
:0074 
:0074 
:0074 
:0078 
:007А 
: 0070 
:007Е 
:0081 
:0082 
:0085 
:0086 
:0089 
:008А 
:0080 
:008Е 
:0091 
:0092 
:0095 


F6 
01 


96 


00 


FF 


00 


FF 


00 


FF 


00 


sent_pro proc far ; CODE XREF: check аопд1е+34р 


var 3 = byte ptr -3 
var_2 = word ptr -2 
аго_0 = амога рїг 6 
00 ептег 4, 0 
push si 
push di 
E7 mov ах, _in_port_1 ; 0x37A 
in al, dx 
mov bl, al 
and bl, OFEh 
or bl, 4 
mov al, bl 
mov [bp+var 3], al 
and bl, 1Fh 
mov al, bl 
out dx, al 
push OFFh 
push cS 
call near ptr out_port 
pop сх 
push орзһ 
push cS 
call near ptr out_port 
pop сх 
хог si, si 
jmp short loc _359D4 
loc_359D3: ; CODE XREF: sent_pro+37j 
inc si 
loc_359D4: ; CODE XREF: sent рго+30ј 
00 cmp si, 96h 
jl short loc 35903 
push OC3h 
push cS 
call near ptr out_port 
pop сх 
push OC7h 
push cs 
call near ptr out_port 
pop сх 
push OD3h 
push cS 
call near ptr out_port 
pop сх 
push OC3h 
push cS 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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5е9030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 


:0096 
:0099 
:009А 
:0090 
:009Е 
:00А1 
:00А2 
:00А5 
:00Аб 
: ОВА 
: ООАА 
: ООА” 
:00АЕ 
:00АЕ 
:00АЕ 
: 0082 
: 0082 
: 0082 
:00В4 
:00В8 
:00В9 
:00ВВ 
:00Вр 
:00С0 
:00С0 
:00С0 
:00С5 
:00С7 
: ОӨСА 
:00СС 
:00СС 
:00СС 
:00СЕ 
:0000 
:0003 
:0004 
:0007 
:0007 
:0007 
:0008 
:000В 
:000С 
: 00DF 
:00Е0 
:00ЕЗ 
:00Е4 
:00Е7 
:00Е9 
: ОВЕС 
:00ЕБ 
:00ЕЕ 
:00ЕЕ 
:00ЕЕ 


ВЕ 


9B 
C7 
93 
D3 
8B 
FF 


40 


04 


Сз 


5Е 


ЕЕ 


00 


ЕЕ 


00 


ЕЕ 


ЕЕ 


00 


80 


01 


РЕ 


00 


00 


ЕЕ 


00 


ЕЕ 


00 


ЕЕ 


РЕ 


РЕ 


06 


call 
pop 
push 
push 
call 
pop 
push 
push 
call 
pop 
mov 
jmp 


loc_35A0F: ; 
mov 


loc_35A12: ; 
shl 


E7 mov 


loc_35A20: ; 


08+ 


loc_35A2C: ; 


10с 35А37: ; 


1ос З5А4Е: ; 
les 


CODE XREF: 


CODE XREF: 


CODE XREF: 


CODE XREF: 


CODE XREF: 


CODE XREF: 


near ptr out рогі 
сх 
OC7h 
cS 
near ptr out _ port 
сх 
0D3h 
cS 
near ptr out _ port 
сх 
аі, OFFFFh 
short 1ос_35А4Е 
ѕепі рго+Врј 
$1, 4 
ѕепі рго+АСј 
91, 1 
ах, іп рог 2 ; 0x379 
al, ах 
al, 80h 
short loc_35A20 
di, 1 
sent_pro+7Aj 
[bp+var 2], 8 
short 1ос_35А2С 
OD7h ; '+' 
short 1ос 35А37 
ѕепі рго+84) 
OC3h 
cS 
near ptr out_port 
сх 
OC7h 
sent_pro+89j 
cS 
near ptr out_port 
сх 
0D3h 
cS 
near ptr out_port 
сх 
ах, [bp+var 2] 
ах, 1 
[6р+уаг_2], ах 
51 
short 1ос 35А12 
ѕепі рго+6сј 
bx, [Ьр+аго 0] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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5е9030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
5е9030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 


:00Е2 
:00Е5 
:00Е8 
:00F9 
:00ЕС 
:00ЕЕ 
: 0100 
:0103 
:0104 
:0107 
:0108 
:010С 
: 0100 
:010F 
:0112 
:0114 
:0115 
:0116 
:0118 
:011B 
:011D 
:0120 
:0123 
:0125 
:0125 
:0125 
:0128 
:0128 
:0128 
:012B 
:012D 
:0130 
:0130 
:0130 
:0134 
:0136 
:0137 
:0139 
:013A 
:013B 
:013С 
:013С 


06 
07 


82 Е7 


Рр 


80 


ТЕ 


82 Е7 


іпс 
mov 
cbw 
mov 
or 
jnz 
push 
push 
call 
pop 
mov 
in 
mov 
and 
mov 
out 
in 
mov 
test 
jz 
mov 
and 
jmp 


word ptr [bp+arg_0] 
al, еѕ: [0х] 


[рр+маг 2], ах 
ах, ах 

short 1ос _35A0F 
OFFh 

С5 

near ptr оиї рогї 


cl, 20h 

short loc 35А85 
bl, [bp+var 3] 
bl, ODFh 

short loc 35А88 


loc_35A85: ; CODE XREF: sent рго+рАј 


mov 


bl, [bp+var 3] 


loc_35A88: ; CODE XREF: sent рго+Е2]ј 


test 
jz 
and 


cl, 80h 
short loc 35А90 
bl, 7Fh 


loc_35A90: ; CODE XREF: sent рго+ЕАј 


mov 
mov 
out 
mov 
pop 
pop 
leave 
retf 

sent_pro endp 


ах, _in_port_1 ; 0x37A 
al, bl 

dx, al 

ax, di 

di 

si 


Это также «хеширующая» донгла Sentinel Pro как и в предыдущем примере. 
Это заметно по тому что текстовые строки передаются и здесь, 16-битные зна- 
чения также возвращаются и сравниваются с другими. 


Так вот как происходит работа с Sentinel Pro через порты. Адрес выходного 
порта обычно 0х378, т.е. принтерного порта, данные для него во времена пе- 
ред USB отправлялись прямо сюда. Порт однонаправленный, потому что когда 
его разрабатывали, никто не мог предположить, что кому-то понадобится по- 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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лучать информацию из принтера t’. Единственный способ получить информа- 
цию из принтера это регистр статуса на порту 0х379, он содержит такие биты 
как «paper out», «ack», «busy» — так принтер может сигнализировать о том, 
что он готов или нет, и отом, есть ли в нем бумага. Так что донгла возвращает 
информацию через какой-то из этих бит, по одному биту на каждой итерации. 


іп рогї 2 содержит адрес статуса (0х379) и іп рогї 1 содержит адрес управ- 
ляющего регистра (0х37А). 


Судя по всему, донгла возвращает информацию только через флаг «busy» на 
seg030:00B9: каждый бит записывается в регистре DI позже возвращаемый в 
самом конце функции. 


Что означают все эти отсылаемые в выходной порт байты? Трудно сказать. Воз- 
можно, команды донглы. Но честно говоря, нам и не обязательно знать: нашу 
задачу можно легко решить и без этих знаний. 


Вот функция проверки донглы: 


00000000 5Егисе 0 struc ; (sizeof=0x1B) 
00000000 field 0 db 25 dup(?) ; string(C) 
00000019 А dw ? 
0000001B ѕїгисї 0 ends 
dseg:3CBC 61 63 72 75+ Q  struct_0 <'hello', 01122h> 
dseg:3CBC 6E 00 00 00+ ; DATA XREF: сһеск аӢопд1е+2Ео 

. Skipped ... 
Ч5е9:3Е00 63 6F 66 66+ struct_0 <'со?Ғее', 7ЕВ7һ> 
Яѕед:ЗЕ1В 64 бЕ 67 00+ ѕігисї 0 <'dog', ӨҒҒАРһ> 
dseg:3E36 63 61 74 00+ struct_0 <'саї', ӨЕЕ5Еһ> 
dseg:3E51 70 61 70 65+ struct_0 <'рарег', ӨҒЕРЕһ> 
dseg:3E6C 63 6F 6B 65+ struct_0 <'coke', 0F568h> 
dseg:3E87 63 6C 6F 63+ struct_0 <'clock', 55EAh> 
dseg:3EA2 64 69 72 00+ struct_0 <'dir', ӨЕЕАЕһ> 
dseg:3EBD 63 6F 70 79+ struct_0 <'copy', 0F557h> 
seg030:0145 check_dongle proc far ; CODE XREF: sub 3771D+3EP 
seg030:0145 
seg030:0145 var_6 = dword ptr -6 
seg030:0145 var_2 = word ptr -2 
seg030:0145 
seg030:0145 C8 06 00 00 enter 6,0 
seg030:0149 56 push si 
seg030:014A 66 6A 00 push large 0 ; newtime 
seg030:014D 6A 00 push 0 ; ста 
ѕед030:014Ғ 9A C1 18 00+ call _biostime 
seg030:0154 52 push dx 
seg030:0155 50 push ax 
seg030:0156 66 58 pop eax 


17Если учитывать только Centronics и не учитывать последующий стандарт IEEE 1284 — в нем из 
принтера можно получать информацию. 
y 
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ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 
ѕед030 


:0158 
:015В 
:015Е 
:0164 
:0166 
:0168 
:0169 
:016А 
: 0160 
:016Е 
: 0170 
:0173 
:0176 
:0177 
:0178 
:0179 
:017С 
:017F 
:0182 
:0184 
:0187 
:018B 
:018F 
:0192 
:0197 
:0199 
:019C 
:01А0 
:01АЗ 
:01А5 
:01А8 
:О1АА 
:О1АА 
:О1АА 
: ОТАА 
: ОТАС 
: ОТАС 
: ОТАС 
:01Ар 
:О1АЕ 
: 01АЕ 


co 


06 
46 
06 


РА 
08+ 


ааа 5р, 6 

mov [bp+var_6], eax 
cmp eax, _expiration 
jle short loc_35B0A 
push 14h 

nop 

push С5 

са11 near ріг деф гапа 
рор сх 

mov si, ax 

imul ax, 1Bh 

add ax, offset Q 
push ds 

push ax 

push С5 

call near ptr sent_pro 
add sp, 4 

mov [bp+var_2], ax 
mov ax, si 

imul ax, 18 

movsx eax, ax 

mov edx, [bp+var 6] 
add edx, eax 

mov _expiration, edx 
mov bx, si 

imul bx, 27 

mov ах, _Q._A[bx] 
cmp ax, [bp+var_2] 
jz short loc_35B0A 
mov ax, 1 

jmp short 1ос 35ВӨС 


10с 35В0А: ; CODE XREF: сһеск аопд1е+1Еј 
; check аопд1е+5Еј 
хог ах, ах 


loc_35B0C: ; CODE XREF: сһеск dongle+63j 
pop si 
leave 
retf 

check_dongle endp 


А так как эта функция может вызываться слишком часто, например, перед 
выполнением каждой важной возможности ПО, а обращение к донгле вообще- 
то медленное (и из-за медленного принтерного порта, и из-за медленного МСУ 
в донгле), так что они, наверное, добавили возможность пропускать проверку 
донглы слишком часто, используя текущее время в функции біоѕііте (). 


Функция деї гапа() использует стандартную функцию Си 


5е9030: 
ѕед030: 
seg030: 
seg030: 


01ВЕ 
01ВЕ 
01ВЕ 
01ВЕ 


деї гапа proc far ; CODE XREF: check dongle+25p 


аго_0 = мога ptr 6 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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ѕед030:01ВЕ 55 push bp 
seg030:01C0 8B EC mov bp, sp 
seg030:01C2 9A 3D 21 00+ call _rand 
seg030:01C7 66 OF ВЕ CO movsx eax, ax 
seg030:01CB 66 OF BF 56+ movsx edx, [bp+arg_0] 
seg030:01D0 66 OF AF C2 imul eax, edx 
seg030:01D4 66 BB 00 80+ mov ebx, 8000h 
seg030:01DA 66 99 cdq 

seg030:01DC 66 F7 FB idiv ebx 
seg030:01DF 5D pop bp 
seg030:01E0 CB retf 

seg030:01E0 get_rand endp 


Так что текстовая строка выбирается случайно, отправляется в донглу и ре- 
зультат хеширования сверяется с корректным значением. 


Текстовые строки, похоже, составлялись так же случайно, во время разработ- 
ки ПО. 


И вот как вызывается главная процедура проверки донглы: 


5ед033:087В 9А 45 01 96+ call check_dongle 


seg033:0880 ӨВ CO or ax, ax 

seg033:0882 74 62 jz short ОК 

seg033:0884 83 3E 60 42+ cmp word_620E0, 0 

seg033:0889 75 5B jnz short ОК 

seg033:088B FF 06 60 42 inc word_620E0 

seg033:088F 1E push ds 

seg033:0890 68 22 44 push offset aTrupcRequiresA ; 
"This Software Requires a Software Lock\n" 

seg033:0893 1E push ds 

seg033:0894 68 60 E9 push offset byte 6С7Е0 ; dest 

seg033:0897 ОА 79 65 00+ call _51гсру 

ѕед033:089Сс 83 C4 08 ааа sp, 8 

5е9033:089Е 1E push ds 

seg033:08A0 68 42 44 push offset aPleaseContactA ; "Please Contact 

5е9033:08АЗ 1E push ds 

seg033:08A4 68 60 E9 push offset byte 6С7Е0 ; dest 

seg033:08A7 9A CD 64 00+ call _strcat 


Заставить работать программу без донглы очень просто: просто заставить 
функцию сһеск допд1е() возвращать всегда 0. 


Например, вставив такой код в самом её начале: 


тоу ax,0 
геї? 


Наблюдательный читатель может заметить, что функция Си ѕїгсру() имеет 2 
аргумента, но здесь мы видим, что передается 4: 


5е9033:088Е 1E push ds 
seg033:0890 68 22 44 push offset aTrupcRequiresA ; 
"This Software Requires a Software Lock\n" 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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5е9033:0893 1E push ds 

seg033:0894 68 60 E9 push offset byte_6C7E0 ; dest 
seg033:0897 9A 79 65 00+ call _strcpy 

seg033:089C 83 C4 08 add sp, 8 


Это связано с моделью памяти B MS-DOS. Об этом больше читайте здесь: 10.7 
(стр. 1254). 


Так что, ѕїгсру(), как и любая другая функция принимающая указатель (-и) в 
аргументах, работает с 16-битными парами. 


Вернемся к нашему примеру. 05 сейчас указывает на сегмент данных разме- 
щенный в исполняемом файле, там, где хранится текстовая строка. 


В функции 5еп{ рго() каждый байт строки загружается на 

seg030:00EF: инструкция LES загружает из переданного аргумента пару Е5:ВХ 
одновременно. MOV на 5е9030: 0025 загружает байт из памяти, на который ука- 
зывает пара ЕЅ:ВХ. 


8.7. Случай с зашифрованной БД #1 


(Эта часть впервые появилась в моем блоге 26-Aug-2015. Обсуждение: https: 
/ /пемѕ . усотріпа+ог. сот/1%ет?14=10128684.) 


8.7.1. Base64 и энтропия 


Мне достался ХМІі-файл, содержащий некоторые зашифрованные данные. Be- 
роятно, что-то связанное с заказами и/или с информацией о клиентах. 


<?xml version = "1.0" encoding = "ОТЕ-8"?> 
<Огаегѕ> 
<0гаег> 
<ОгдегІр>1</0гдегІр> 
<Data>yjmxhXUbhB/5MV45chPsXZWAJwIh1S0aD9LFn3XuJMSxJ3/E+ 2 
S UE3hsnH</Data> 
</Order> 
<0rder> 
<0rderID>2</0rderID> 
<Data>0KGe/wnypFBjsy+UOC2P9fC5nDZP3XDZLMPCRaiBw90jIk6Tu5U 2 
„ =</Data> 
</Order> 
<0гаег> 
<0rderID>3</0rderID> 
<Data>mqkXfdzvQKvEArdzh+zD90ETVGBFvcTBLSs2ph1lb5bYddExzp</ 2 
„ Data> 
</0гаег> 
<0гдег> 
<ОгаегІр>4</0гаегІр> 
<Data>FCx6JhIDqnESyT3HAepyE1BJ3cJd7wCk+APCRUeuNtZdpCvQ2MR/7 2 
kLXtfUHuA==</Data> 
</0гаег> 


є 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


1078 


Файл доступен здесь. 


Это явно данные закодированные в баѕеб4, потому что все строки состоят из 
латинских символов, цифр, и символов плюс (+) и слэш (/). Могут быть еще 
два выравнивающих символа (=), но они никогда не встречаются в середине 
строки. Зная эти свойства баѕеб4, такие строки легко распознавать. 


Попробуем декодировать эти блоки и вычислить их энтропии (9.2 (стр. 1193)) 
при помощи Wolfram Mathematica: 


Іп[]:= 115%10ТВа<е645%г1п05 = 


Мар [Е1г$5* [#[[3]]] &, Сазез [Ттрог* ["епсгур\еа.хт\1"], ХМЕЕ\Тетеп* ["Бафа", _,к 
$ _], Infinity]]; 


In[]:= BinaryStrings = 
Map[ImportString[#, {"Base64", "String"}] &, 11510#Ваѕеб451гіпдѕ]; 


In[]:= Entropies = Map[N[Entropy[2, #]] &, BinaryStrings]; 
In[]:= Variance[Entropies] 
Out[]= 0.0238614 


Разброс (variance) низкий. Это означает, что значения энтропии не очень отли- 
чаются друг от друга. Это видно на графике: 


Іп[]:= 1151Р10ї[Епїгоріеѕ ] 


5.8 
в .. 

5.6 = ми го ш Б = TAE "a k = ше = = = 
Е я 
Чаа а А Жат 

5.4 ро р y pap ие e piah Eg a ДаЫлЫ 

LEE И Т Р реа а] F i пака Бы ЛЕШ рур рар Ша үп „ " "Щр ый Б aa И 
т: Е ЕАИС еее. 
= пы ың r т 7 еы тнр ТЫ TNT = 0 Ела а а, 
T гаан е ие а ттт га АТ т ть ти а 
5.2 ppr РЕ = В+ Е "ғ ы дыг ат КНЕ T= sE 


T вы] еле y Е г 


Е. „Ра n + в Г 
50$ EN TERE ый Е 


masmu aia ‚лы ы "аш" T пар "ш Ж DAE е = pan "js = „мат, пш "ыы" b 
О ЗО реа е Д арЫ: А 
АГЕ ЛГ Я МЫ Аа мр 
45 |= * Е = A a Й — n 
ш F 
4.8 
0 2000 4000 6000 5000 10000 
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Большинство значений между 5.0 и 5.4. Это свидетельство того что данные 
сжаты и/или зашифрованы. 


Чтобы понять разброс (variance), подсчитаем энтропии всех строк в книге Ko- 
нана Дойля The Hound of the Baskervilles: 


In[]:= BaskervillesLines = Import["http://ww.gutenberg.org/cache/epub 2 
S /2852/pg2852.txt", "List"]; 
In[]:= EntropiesT = Map[N[Entropy[2, #]] &, BaskervillesLines]; 
In[]:= Variance[EntropiesT] 
Out[]= 2.73883 
In[]:= ListPlot[EntropiesT] 
В Ө ГА 
А с. 5 2 Е 2 $ < Y CS ^ мыз =! УС к р: А" ji 
4 | #. Ai r АЕ М д: ЕСЕ “бы s Е ' $ ta : я а чу „А бт 
Ра, "р P AER Аз = at А А + EF PAF < г : РЬ о Б 
в Ж Į . ТА „Жш “а: ya. г PR тт, ъ = с И" рае 
м. кек ыы „ „* 3% А ле. мт" не Мите 
= ъ ы =" га >. . = b 8. . ч Е = нах А е. ' с е, А 
т е тр Е . .. № ...” . : ..,. 1 . 2 ш .. ... ` 
1 
1000 2000 3000 4000 5000 8000 7000 


Большинство значений находится вокруг 4, но есть также меньшие значения, 
и они повлияли на конечное значение разброса. 


Вероятно, самые короткие строки имеют мёньшую энтропию, попробуем ко- 
роткую строку из книги Конан Дойля: 


Іп[]:= Entropy[2, "Yes, $1г."] // N 
Out[]= 2.9477 


Попробуем еще меньшую: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Іп[]:= Епігору[2, "Үеѕ"] // N 
Out[]= 1.58496 


Іп[]:= Епігору[2, "№"] // N 
Out[]= 1. 


8.7.2. Данные сжаты? 


ОК, наши данные сжаты и/или зашифрованы. Сжаты ли? Почти все компрес- 
соры данных помещают некоторый заголовок в начале, сигнатуру или что-то 
вроде этого. Как видим, здесь ничего такого нет в начале каждого блока. Все 
еще возможно что это какой-то самодельный компрессор, но они очень ред- 
ки. С другой стороны, самодельные криптоалгоритмы попадаются часто, пото- 
му что их куда легче заставить работать. Даже примитивные криптосистемы 
без ключей, как тетйоБ()18 и ВОТ13 нормально работают без ошибок. А что- 
бы написать свой компрессор с нуля, используя только фантазию и воображе- 
ние, так что он будет работать без ошибок, это серьезная задача. Некоторые 
программисты реализуют ф-ции сжатия данных по учебникам, но это также 
редкость. Наиболее популярные способы это: 1) просто взять опен-сорсную 
библиотеку вроде zlib; 2) скопипастить что-то откуда-то. Опен-сорсные anro- 
ритмы сжатия данных обычно добавляют какой-то заголовок, и точно так же 
делают алгоритмы с сайтов вроде http://www. содергојесі. сот/. 


8.7.3. Данные зашифрованы? 


Основные алгоритмы шифрования обрабатывают данные блоками. DES — по 8 
байт, AES — по 16 байт. Если входной буфер не делится без остатка на длину 
блока, он дополняется нулями (или еще чем-то), так что зашифрованные дан- 
ные будут выровнены по размеру блока этого алгоритма шифрования. Это не 
наш случай. 


Используя Wolfram Mathematica, я проанализировал длины блоков: 


Іп[]:= Соип+ѕ [Мар [5+гіпдіепоћ [#] &, BinaryStrings]] 

Out[]= <[42 -> 1858, 38 -> 1235, 36 -> 699, 46 -> 1151, 40 -> 1784, 
44 -> 1558, 50 -> 366, 34 -> 291, 32 -> 74, 56 -> 15, 48 -> 716, 
30 -> 13, 52 -> 156, 54 -> 71, 60 -> 3, 58 -> 6, 28 -> 4|> 


1858 блоков имеют длину 42 байта, 1235 блоков имеют длину 38 байт, ит. д. 
Я сделал график: 


151Р1о+ [ Соип+5 [Мар [51 гіпдіепоїћ [#] &, BinaryStrings]]] 


l8http://linux.die.net/man/3/memf rob 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Так что большинство блоков имеют размер между —36 и ~48. Вот еще что стоит 
отметить: длины всех блоков четные. Нет ни одного блока с нечетной длиной. 


Хотя, существуют потоковые шифры, которые работают на уровне байт, или 
даже на уровне бит. 


8.7.4. СгурёоРР 


Программа, при помощи которой можно листать зашифрованную базу напи- 
сана на С# и код на .МЕТ сильно обфусцирован. Тем не менее, имеется DLL 
с кодом для х86, который, после краткого рассмотрения, имеет части из по- 
пулярной опен-сорсной библиотеки СгурїоРР! (Я просто нашел внутри строки 
«СгурїоРР».) Теперь легко найти все ф-ции внутри DLL, потому что библиотека 
СгурїоРР опен-сорсная. 


Библиотека СгурїоРР имеет множество ф-ций шифрования, включая AES (АКА 
Rijndael). Современные х86-процессоры имеют АЕЅ-инструкции вроде АЕЅЕМС, 
АЕЅРЕС и AESKEYGENASSIST 19. Они не производят полного шифрования/дешиф- 
рования, но они делают ббльшую часть работы. И новые версии СгурїоРР nc- 
пользуют их. Например, здесь: 1, 2. К моему удивлению, во время дешифрова- 
ния, инструкция, АЕЗЕМС исполняется, а АЕЗОЕС — нет (я это проверил при nomo- 
щи моей утилиты tracer, но можно использовать любой отладчик). Я проверил, 
поддерживает ли мой процессор АЕб5-инструкции. Некоторые процессоры Intel 
13 не поддерживают. И если нет, библиотека СгурїоРР применяет ф-ции AES pe- 


19https://en.wikipedia.org/wiki/AES_instruction_set 
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ализованные старым способом 25. Но мой процессор поддерживает их. Почему 
АЕЗОЕС не исполняется? Почему программа использует шифрование AES чтобы 
дешифровать БД? 


ОК, найти ф-цию шифрования блока это не проблема. Она называется 
CryptoPP::Rijndael::Enc::ProcessAndXorBlock: src, и она может вызывать другую 
ф-цию: 

Rijndael::Enc::AdvancedProcessBlocks() src, которая, в свою очередь, может Bbl- 
зывать две ф-ции ( АЕЅМІ Епс ВІоск апа АЕЅМІ Епс 4 ВІоскѕ ) которые имеют 
инструкции АЕЅЕМС. 


Так что, судя по внутренностям CryptoPP, 
СгуріоРР::Віјпааеі::Епс::РгосеѕѕАпахогвВіоск() шифрует один 16-байтный блок. Mo- 
пробуем установить брякпоинт на ней и посмотрим, что происходит во время 
дешифрования. Я снова использую мою простую утилиту tracer. Сейчас npo- 
грамма должна дешифровать первый блок. О, и кстати, вот первый блок скон- 
вертированный из кодировки баѕеб4 в шестнадцатеричный вид, будем дер- 
жать его под рукой: 


00000000: СА 39 ВІ 85 75 1B 84 1F F9 31 5Е 39 72 13 ЕС 5D .9..и....1^9г/ 
>... 

00000010: 95 80 27 02 21 05 2р 1А ОЕ 09 45 9F 75 ЕЕ 24 C4 ..'.!.-...Е.и. $2 
>. 

00000020: B1 27 7F 84 FE 41 37 86 C9 СО r'ar A asa 


А еще вот аргументы ф-ции из исходных файлов CryptoPP: 


size_t Rijndael: : Епс: : АЧуапседР госе$ВТоск$ (сопѕі byte ж1пВТосК5, const 2 
> byte жхогВ1оскѕ, byte xoutBlocks, size_t length, могаз2 flags); 


Так что у него 5 аргументов. Возможные флаги это: 


enum {ВТ ІпВ1оскІѕСоипёег=1, BT_DontIncrementIn0utPointers=2, ВТ ХогІприї 2 
S =4, ВТ Вемегѕерігестіоп=8, ВТ А11омРага11е1=16} / 
ъ FlagsForAdvancedProcessBlocks; 


ОК, запускаем tracer на ф-ции Ргосе55АпаХогВ!оск(): 


. Тгасег.ехе —:111епате.ехе Бр?=#і1епапте .ехе!0х4339а0, агд$ : 5, Читр_агдз: 0» 
S x10 


Warning: no tracer.cfg file. 

PID=1984|New process software.exe 

no module registered with image base 0x77320000 

no module registered with image base 0x76e20000 

no module registered with image base 0x77320000 

no module registered with image base 0x77220000 

Warning: unknown (to us) INT3 breakpoint at ntdll.dll!/ 
s LdrVerifyImageMatchesChecksum+0x96c (0x776c103b) 

(0) software.exe!0x4339a0 (0x38b920, 0x0, 0x38b978, 0x10, 0х0) (called from р 
S software.exe! .text+0x33c0d (0x13e4c0d)) 


20https://github.com/mmoss/cryptopp/blob/2772f7b57182b31a41659b48d5f35a7b6cedd34d/src/ 
rijndael.cpp#L355 
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Argument 1/5 

00388920: 01 00 00 00 ЕЕ ЕЕ ЕЕ FF-79 C1 69 ОВ 67 C1 04 7р "........ у.1.9/ 
И 

Argument 3/5 

00388978: CD CD CD Ср ср Ср CD ср-ср CD ср ср Ср ср ср CD 2 
РТА 5 

(0) software.exe!0x4339a0() -> 0x0 

Argument 3/5 difference 

00000000: C7 39 ДЕ 7B 33 1B D6 1F-B8 31 10 39 39 13 А5 5р ".9N2 
4 {3....1.99..]" 

(0) software.exe!0x4339a0 (0х38а828, 0x38a838, 0x38bb40, 0x0, 0x8) (called 2 
4 from software.exe!.text+0x3a407 (0x13eb407)) 

Argument 1/5 

0038А828: 95 80 27 02 21 D5 2D 1А-ОЕ 09 45 ОЕ 75 EE 24 C4 "..'.!.—...E.u.$Z2 
те; 

Argument 2/5 

00384838: B1 27 7Е 84 FE 41 37 86-С9 СО 00 Ср Ср Ср Ср Ср ".'...А7/ 


Argument 3/5 

00388840: CD CD ср ср ср CD CD ср-ср ср ср ср ср ср ср ср 2 
ЕНЕНЕ ТЕТЕ А 

(0) ѕо#{маге. ехе! 0х4339а0() -> 0x0 

(0) ѕоҒімаге. ехе! 0х4339а0 (0х386920, 0х38а828, 0х386630, 0x10, 0х0) (called 2 
„ from software.exe!.text+0x33c0d (0х13е4сда)) 

Argument 1/5 

00388920: СА 39 B1 85 75 1B 84 1F-F9 31 5E 39 72 13 ЕС 5р ".9..и....1^9г/ 
у ‚.1" 

Argument 2/5 

0038А828: 95 80 27 02 21 05 20 1А-0Е 09 45 ОЕР 75 ЕЕ 24 С4 '"..'.!.-...Е.и.$/ 
с." 

Argument 3/5 

00388830: CD CD CD Ср CD Ср CD ср-ср CD ср ср CD ср CD ср 2 
ео р 

(0) ѕо#{маге. ехе! 0х4339а0() -> 0x0 

Argument 3/5 difference 

00000000: 45 00 20 00 ДА 00 ДЕ 00-48 00 ДЕ 00 53 00 00 00 "E. .J.O0.H.N.S2 
РР 

(0) ѕо?імаге. ехе! 0х4339а0 (0х386920, 0х0, 0х386978, 0x10, 0х0) (called from 2 
„ ѕоТїмаге. ехе! .text+0x33c0d (0х13е4с0а)) 

Argument 1/5 


00388920: 95 80 27 02 21 05 2р 1А-0Е 09 45 ОЕ 75 ЕЕ 24 C4 "..'.!.-...Е.и.$2 
5 au 

Argument 3/5 

0038B978: 95 80 27 02 21 D5 2D 1А-0Е D9 45 ОЕ 75 ЕЕ 24 С4 "..'.!.-...Е.и.$2 
t и 


(0) ѕо?%маге.ехе! 0х4339а0 () -> 0х0 

Argument 3/5 difference 

00000000: B1 27 7F E4 Е 01 ЕЗ 81-CF Сб 12 FB B9 7C F1 BC р 
РОР |e" 

PID=1984|Process software.exe exited. ExitCode=0 (0x0) 


Тут мы можем увидеть входы B ф-цию ProcessAndXorBlock(), и выходы из нее. 
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Это вывод из ф-ции во время первого вызова: 


00000000: C7 39 ДЕ 7B 33 1B 06 1Ғ-В8 31 10 39 39 13 А5 5р ".9N2 
Y {3....1.99..]" 


Затем ф-ция РгосеѕѕАпахогВіоск() вызывается с блоком нулевого размера, 
но с флагом 8 (ВТ Аеуегѕерігесііоп). 


Второй вызов: 


00000000: 45 00 20 00 ДА 00 4F 00-48 00 ДЕ 00 53 00 00 00 "Е. .Ј.0.Н.М№.52 
ТЕ 


Ох, тут есть знакомая нам строка! 


Третий вызов: 


00000000: B1 27 7Е E4 9F 01 ЕЗ 81-СЕ Сб 12 ЕВ B9 7С F1 ВС / 
РЕРНИ |..." 


Первый вывод очень похож на первые 16 байт зашифрованного буфера. 


Вывод первого вызова РгосеѕѕАпахХогВІоск(): 


00000000: C7 39 ДЕ 7B 33 1B 06 1Ғ-В8 31 10 39 39 13 А5 5р ".9N2 
5 {3....1.99..]" 


Первые 16 байт зашифрованного буфера: 


00000000: СА 39 B1 85 75 1B 84 1F F9 31 5E 39 72 13 ЕС 5D .9..и....1^9г..] 


Тут слишком много одинаковых байт! Как так получается, что результат шиф- 
рования AES может быть очень похож на шифрованный буфер в то время как 
это не шифрование, а скорее дешифрование? 


8.7.5. Режим обратной связи по шифротексту 


Ответ это СЕВ2!: в этом режиме, алгоритм AES используются не как алгоритм 
шифрования, а как устройство для генерации случайных данных с крипто- 
графической стойкостью. Само шифрование производится используя простую 
операцию XOR. 


Вот алгоритм шифрования (иллюстрации взяты из Wikipedia): 


21режим обратной связи по шифротексту (Cipher Feedback) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Initialization Vector (IV) 


Шш 
ке block cipher Ke block cipher K block cipher 
y encryption y encryption ey encryption 
Plaintext Plaintext Plaintext 
inaa ooon- шипи | 
CON CONN CONN 
Ciphertext Ciphertext Ciphertext 


Cipher Feedback (CFB) mode encryption 


И дешифрования: 


Initialization Vector (IV) 


TTT] 


| 


Ke block cipher Ke block cipher K block cipher 
y encryption y encryption еу encryption 


Ciphertext Ciphertext Ciphertext 
<C -<N +T] 
O O шш 
Plaintext Plaintext Plaintext 


Cipher Feedback (CFB) mode decryption 


Посмотрим: операция шифрования в AES генерирует 16 байт (или 128 бит) cay- 
чайных данных, которые можно использовать во время применения операции 
ХОВ, но кто заставляет нас использовать все 16 байт? Если на последней ите- 
рации у нас 1 байт данных, давайте про-ХОВ-им 1 байт данных с 1 байтом 
сгенерированных случайных данных? Это приводит к важному свойству режи- 
ма СЕВ: данные не нужно выравнивать, данные произвольного размера могут 
быть зашифрованы и дешифрованы. 


О, и вот почему все шифрованные блоки не выровнены. И вот почему инструк- 
ция АЕЅрЕС никогда не вызывается. 


Давайте попробуем дешифровать первый блок вручную, используя Питон. Ре- 
жим СЕВ также использует IV, как seed для CSPRNG??. В нашем случае, IV это 
блок, который шифруется на первой итерации: 


22Криптографически стойкий генератор псевдослучайных чисел (сгуркодгарЫсаНу secure 
pseudorandom number generator) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


00388920: 01 00 00 00 FF FF FF FF-79 C1 69 ӨВ 67 C1 04 7р "........ у.1.0/ 
©; ү" 


О, и нам нужно также восстановить ключ шифрования. В ОШ есть AESKEYGENASSIST, 
и она вызывается, и используется в ф-ции 

Rijndael::Base::UncheckedSetKey(): src. Её легко найти в IDA и установить бряк- 
пойнт. Посмотрим: 


. Тгасег.ехе —:111епате.ехе bpf=filename.exe!0x435c30,args:3,dump_args:07 
S x10 


Warning: no tracer.cfg file. 

PID=2068 |New process software.exe 

no module registered with image base 0x77320000 

no module registered with image base 0x76e20000 

no module registered with image base 0x77320000 

no module registered with image base 0x77220000 

Warning: unknown (to us) INT3 breakpoint at ntdll.dll!/ 
S LdrVerifyImageMatchesChecksum+0x96c (0x776c103b) 

(0) software.exe!0x435c30(0x15e8000, 0x10, 0x14f808) (called from software. р 
„ ехе! .text+0x22fa1 (0х1343Та1)) 

Argument 1/3 

015E8000: CD C5 7E AD 28 5F 6D Е1-СЕ 8F СС 29 B1 21 88 8E "..-~.( т....)2 
О ш 

Argument 3/3 

0014Е808: 38 82 58 01 C8 B9 46 00-01 01 3C 01 00 F8 14 00 "8.Х...Е/ 
она жа Е 

Argument 3/3 +0х0: software.exe!.rdata+0x5238 

Argument 3/3 +0х8: software.exe!.text+0x1c101 

(0) software.exe!0x435c30() -> 0х13с2801 

РТО=2068 | Ргосеѕ5 software.exe exited. ЕхіїСойе=0 (0х0) 


Так вот это ключ: CD C5 7E AD 28 5Е 6р Е1-СЕ ВЕ СС 29 B1 21 88 ВЕ. 


Во время ручного дешифрования мы получаем это: 


00000000: 00 00 FF FE 46 00 52 00 41 00 ДЕ 00 4B 00 49 00 [ ....Е.В.А.М.К. Ти 
К Е 

00000010: 45 00 20 00 ДА 00 4F 00 48 00 ДЕ 00 53 00 66 66 Е. .Ј.0.Н.М.5. 2 
S ff 

00000020: 66 66 66 9E 61 40 D4 07 06 01 fff.a@.... 


Теперь это что-то читаемое! И теперь мы видим, почему было так много оди- 
наковых байт во время первой итерации дешифрования: потому что в ориги- 
нальном тексте так много нулевых байт! 


Дешифруем второй блок: 


00000000: 17 98 DO 84 ЗА E9 72 ДЕ DB 82 ЗЕ AD E9 ЗЕ 2А А8 ....:. r02 
COE = 

00000010: 41 00 52 00 52 00 ДЕ 00 ДЕ 00 CD СС СС СС СС СС A.R.R.0.N2 
а аала гаа 

00000020: 1B 40 D4 07 06 01 .@.... 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


Третий, четвертый и пятый: 


00000000: 50 90 59 06 EF F4 96 B4 7С 33 А7 ДА ВЕ FF 66 АВ ].Ү..... ЕТИУ, 
>. 

00000010: 49 00 47 00 47 00 53 00 00 00 00 00 00 СӨ 65 40 Т.6.С.5....... 2 
„ еа 


00000020: р4 07 06 01 


00000000: 03 15 34 5р 21 18 7С 6E АА F8 20 FE 38 F9 07 4E ..4]!. |п..-.8.. 2 


SN 
00000010: 41 00 20 00 44 00 4F 00 48 00 45 00 52 00 54 00 A. .р.0.Н.Е.К.Т2 
>. 
00000020: 59 00 48 Е1 7А 14 АЕ ЕЕ 68 40 р4 07 06 02 Ү.Н.2...һа.... 
00000000: 1E ЗВ 90 ОА 17 7B C5 52 31 6С ДЕ 2F DE 1B 27 19 ..... {.ВА1Ш 


з шын 5 
00000010: 41 00 52 00 43 00 55 00 53 00 00 00 00 00 00 60 A.R.C.U.S2? 


& 
00000020: 66 40 D4 07 06 03 f@.... 


Все блоки, похоже, дешифруются корректно, но не первые 16 байт. 


8.7.6. Инициализирующий вектор 


Что влияет на первые 16 байт? 
Вернемся снова к алгоритму дешифрования СЕВ: 8.7.5 (стр. 1085). 


Мы видим что ІМ может влиять на первую операцию дешифрования, но не на 
вторую, потому что во время второй итерации используется шифротекст от 
первой итерации, и в случае дешифрования, он такой же, не важно, какой был 
IV! 


Так что, вероятно, ІУ каждый раз разный. Используя мой tracer, я буду смотреть 
на первый вход во время дешифрования второго блока ХМ! -файла: 


00388920: 02 00 00 00 FE FF FF FF-79 C1 69 ӨВ 67 C1 04 7р "........ у.1.9/ 
b . .}" 

«third: 

0038B920: 03 00 00 00 FD FF FF FF-79 C1 69 ӨВ 67 C1 04 7р "........ у.1.0/ 
с . к” 


Похоже, первый и пятый байт каждый раз меняется. Я в итоге разобрался, 
что первое 32-битное число это просто Огаегір из ХМЕ-файла, и второе 32- 
битное число это тоже Огаегір, но с отрицательным знаком. Остальные 8 байт 
не меняются. И вот я расшифровал всю БД: һїїрѕ: //Бед1ппег$ . ге/раума11/ 
ВЕДВ - зоигсе/сиггеп* - тгее/ /ехатр1еѕ/епсгур+еа рв1/аесгуртеа. full.txt. 


Питоновский скрипт, который я использовал: һїїрѕ : //Бед1ппег$ . ге/раума11/ 
ВЕДВ - соигсе/сиггеп* - #гее/ /ехатр1еѕ/епсгурїеа рв1/аесгурї БТосК$.ру. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Вероятно, автор хотел чтобы каждый блок шифровался немного иначе, так 
что он/она использовал Огаепр как часть ключа. А еще можно было бы делать 
разный ключ для AES вместо IV. 


Так что теперь мы знаем, что № влияет только на первый блок во время де- 
шифрования в режиме СЕВ, это его особенность. Остальные блоки можно де- 
шифровать не зная IV, но используя ключ. 


ОК, но почему режим СЕВ? Очевидно, потому что самый первый пример на 
AES в СгурёоРР мікі использует режим СЕВ: һїїр: / /ммм. сгурорр. сот/мікі/ 
Адамуапсеа Епсгур{1оп_ Ѕ+апдага#Епсгурііпод апа ресгурііпо Оѕіпод АЕЅ. Bepo- 
ятно, разработчик выбрал его из-за простоты: пример может шифровать/де- 
шифровать текстовые строки произвольной длины, без выравнивания. 


Очень похоже что автор этой программы просто скопипастил пример из стра- 
ницы в CryptoPP мікі. Многие программисты так и делают. 


Разница только в том что в примере в СгуроРР мікі IV выбирается случайно, 
в то время как подобный индетерминизм не был допустимым для автора про- 
граммы, которую мы сейчас разбираем, так что они решили инициализировать 
№ используя ID заказа. 


Теперь мы можем идти дальше, анализировать значение каждого байта де- 
шифрованного блока. 


8.7.7. Структура буфера 


Возьмем первые 4 байта дешифрованных блоков: 


00000000: Ор 00 FF ЕЕ 46 00 52 00 41 00 ДЕ 00 4B 00 49 00 ....Е.В.А.М.К. Ти 
тн 45 00 20 00 4A 00 АЕ 00 48 00 ДЕ 00 53 00 66 66 Е. .Ј.0.Н.М.5. 2 
А 66 66 66 9Е 61 40 04 07 06 01 fff.a@.... 
00000000: ОВ 00 FF FE 4C 00 4F 00 52 00 49 00 20 00 42 00 ....L.O.R.I. „Ви 
sigoot 41 00 52 00 52 00 АЕ 00 ДЕ 00 CD СС СС СС СС СС А.В.В.0.М/ 
09606620: 1B 40 D4 07 06 01 РИ 

00000000: ОА 00 FF FE 47 00 41 00 52 00 59 00 20 00 42 00 ....С.А.В.У. „Ви 
ма 49 00 47 00 47 00 53 00 00 00 00 00 00 СО 65 40 І.6.6.5....... ? 
Р р4 07 06 01 

00000000: ОЕ 00 FF ЕЕ 40 00 45 00 4C 00 49 00 ДЕ 00 44 00 ....М.Е..І.М№.р2 
а 41 00 20 00 44 00 4F 00 48 00 45 00 52 00 54 00 А. .О.О.Н.Е.В. Ти 
ао 59 00 48 Е1 7А 14 АЕ FF 68 40 D4 07 06 02 Ү.Н.2...һа.... 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Легко увидеть строки закодированные в ОТЕ-16, это имена и фамилии. Mep- 
вый байт (или 16-битное слово) похоже это просто длина строки, мы можем 
проверить это визуально. FF РЕ это, похоже, ВОМ в Уникоде. 


После каждой строки есть еще 12 байт. 


Используя этот скрипт (https : //Бед1ппег$ . ге/раума\11 /ВЕ4В - зоигсе/сиггеп* - Ёгее/ 
/ехатр1еѕ/епсгурёеа DB1/dump БиТТег гез*.ру) я получил случайную выбор- 
ку из хвостов: 


Чепп15@...:$ python decrypt.py епсгур+еа. хті | shuf | head -20 

00000000: 48 Е1 7А 14 АЕ 5Е 62 40 DD 07 05 08 Н.2.. Ба.... 
00000000: 00 00 00 00 00 40 5A 40 DC 07 08 1 ..... @7@.... 
00000000: 00 00 00 00 00 80 56 40 D7 07 08 04 = ...... \е.... 
00000000: 00 00 00 00 00 60 61 40 D7 07 0612 = ...... ае.... 
00000000: 00 00 00 00 00 20 63 40 D9 07 0518 ..... с@.... 
00000000: 30 ОА 07 АЗ 70 FD 34 40 07 07 07 11 =...р.4@.... 
00000000: 00 00 00 00 00 АО 63 40 D5 07 05 19 _...... с@.... 
00000000: CD CC СС СС СС ЗС 5C 40 07 07 08 11  _....... СИ 
00000000: 66 66 66 66 66 ЕЕ 62 40 D4 07 06 05 fffff.b@.... 
00000000: 1F 85 EB 51 B8 FE 40 40 D6 07 09 1E ::.0..@@.... 
00000000: 00 00 00 00 00 40 57 40 DC 07 0218 _ ..... о @.... 
00000000: 48 Е1 7А 14 АЕ ОЕ 67 40 D8 07 05 12 Н.2...9@.... 
00000000: CD СС СС СС СС ЗС 5E 40 DC 07 01 67 Ы —___...... СР 
00000000: 00 00 00 00 00 00 67 40 D4 07 ОВ Е = ...... 9@.... 
00000000: 00 00 00 00 00 40 51 40 DC 07 0408 = ..... @0@.... 
00000000: 00 00 00 00 00 40 56 40 07 07 07 А = ..... @\е.... 
00000000: 8F C2 F5 28 5С 7Е 55 40 DB 07 01 16 „+»(«.0@.... 
00000000: 00 00 00 00 00 00 32 40 DB 07 06 09 ...... 2@.... 
00000000: 66 66 66 66 66 7E 66 40 D9 07 OA 06 fffff~f@.... 
00000000: 48 E1 7A 14 AE DF 68 40 D5 07 07 16 Н.2...һа.... 


Видим что байты 0х40 и 0х07 присутствуют в каждом хвосте. Самый послед- 
ний байт всегда в пределах 1..0x1F (1..31), я проверил. Предпоследний байт 
всегда в пределах 1..0хС (1..12). Ух, это выглядит как дата! Год может быть 
представлен как 16-битное значение, и может быть последние 4 байта это да- 
та (16 бит для года, 8 бит для месяца иеще 8 для дня)? 0х700 это 2013, 0х705 
это 2005, и т. д. Похоже, нормально. Это дата. Там есть еще 8 байт. Судя по 
тому факту что БД называется orders (заказы), может быть здесь присутствует 
сумма? Я сделал попытку интерпретировать их как числа с плавающей точкой 
двойной точности в формате ІЕЕЕ 754, и вывести все значения! 


Некоторые: 


71.0 
134.0 
51.95 
53.0 
121.99 
96.95 
98.95 
15.95 
85.95 
184.99 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Похоже на правду! 


Теперь мы можем вывести имена, суммы и даты. 


plain: 

00000000: 00 00 FF FE 46 00 52 00 41 00 ДЕ 00 ДВ 00 49 00 ....F.R.A.N.K.IZ 
>. 

00000010: 45 00 20 00 ДА 00 4F 00 48 00 ДЕ 00 53 00 66 66 Е. .Ј.0.Н.М№.5. / 
S ff 

00000020: 66 66 66 9E 61 40 D4 07 06 01 fff.a@.... 

OrderID= 1 name= FRANKIE JOHNS sum= 140.95 date= 2004 / 6 / 1 

plain: 

00000000: ОВ 00 FF FE 4C 00 4F 00 52 00 49 00 20 00 42 00 ....L.O.R.I. „Ви 
>. 

00000010: 41 00 52 00 52 00 4F 00 ДЕ 00 С CC СС СС СС СС А.В.В.0.М/ 
\ равнине 

00000020: 1B 40 D4 07 06 01 .@.... 

Огаегір= 2 name= LORI BARRON ѕит= 6.95 date= 2004 / 6 / 1 

plain: 

00000000: ОА 00 FF FE 47 00 41 00 52 00 59 00 20 00 42 00 ....G.A.R.Y. „Ви 
>. 

00000010: 49 00 47 00 47 00 53 00 00 00 00 00 00 CO 65 40 Т.С.С.5....... 2 
„ еа 


00000020: р4 07 06 01 
OrderID= 3 name= GARY BIGGS зит= 174.0 дате= 2004 / 6 / 1 


plain: 

00000000: ОЕ 00 FF FE 4D 00 45 00 4C 00 49 00 ДЕ 00 44 00 ....M.E.L.I.N.DZ2 
мы 

00000010: 41 00 20 00 44 00 4F 00 48 00 45 00 52 00 54 00 А. .р.О.Н.Е.К.ТУ 
>. 

00000020: 59 00 48 Е1 7А 14 АЕ ЕЕ 68 40 D4 07 06 02 Ү.Н.2...һа.... 

Огаегір= 4 name= MELINDA DOHERTY ѕит= 199.99 дафе= 2004 / 6 / 2 

plain: 

00000000: ОВ 00 FF FE 4C 00 45 00 ДЕ 00 41 00 20 00 4D 00 ....L.E.N.A. .M2 


>. 
00000010: 41 00 52 00 43 00 55 00 53 00 00 00 00 00 00 60 А.В.С.0.52 
К акжал 
00000020: 66 40 D4 07 06 03 +е.... 
OrderID= 5 name= LENA MARCUS ѕит= 179.0 дате= 2004 / 6 / З 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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См. еще: https : / /редіппегѕ. ге/раума11 /ВЕДВ- оигсе/ сиггеп* - тгее/ /ехатр1еѕ/ 
епсгуртеа рв1/аесгур+еа. #и1.мі+һ дата. іх. Или отфильтрованные: https: 
//Бед1ппег$ . ге/раума\11 /КЕ4В - ѕоигсе/сиггепї - тгее/ /ехатр1еѕ/епсгурёеа рв1/ 
десгуртеа. эПог*. хі. Похоже всё корректно. 


Это что-то вроде сериализации в ООП, т.е., запаковка значений с разными ти- 
пами в бинарный буфер для хранения и/или передачи. 


8.7.8. Шум в конце 


Остался только один вопрос, иногда хвост длиннее: 


00000000: ОЕ 00 FF FE 54 00 48 00 45 00 52 00 45 00 53 00 ....Т.Н.Е.К.Е.5/ 
00006610: 45 00 20 00 54 00 55 00 54 00 54 00 4С 00 45 00 Е. .T.U.T.T.L.E2 
00000020: 66 66 66 66 66 1E 63 40 D4 07 07 1A 00 07 07 19 fffff.c@z 
OrderTb= 172 hame= THERESE TUTTLE sum= 152.95 date= 2004 / 7 / 26 


(Байты 00 07 07 19 не используются и являются балластом.) 


00000000: ӨС 00 FF FE 40 00 45 00 4C 00 41 00 4E 00 49 00 ....М.Е.Ё.А.М. Ти 
>. 

00000010: 45 00 20 00 4B 00 49 00 52 00 4B 00 00 00 00 00 Е. .К.Т.А.КУ 
ЕР 

00000020: 00 20 64 40 D4 07 09 02 00 02 а@...... 


OrderID= 286 name= MELANIE KIRK ѕит= 161.0 date= 2004 / 9 / 2 


(00 02 не используются.) 


После близкого рассмотрения мы можем видеть, что шум в конце хвоста про- 
сто остался от предыдущего шифрования! 


Вот два идущих подряд буфера: 


00000000: 10 00 FF FE 42 00 4F 00 ДЕ 00 ДЕ 00 49 00 45 00 ....В.0.М№.М№.І.Е2 
К Е 

00000010: 20 00 47 00 47 00 4C 00 44 00 53 00 54 00 45 00 .6.0.1.0.5.Т.Е2 
К Е 

00000020: 49 00 ДЕ 00 ОА 99 99 99 99 79 46 40 D4 07 07 19 І.М...... уЕ@? 


\ зи 
OrderID= 171 name= BONNIE GOLDSTEIN ѕит= 44.95 даїе= 2004 / 7 / 25 


00000000: ОЕ 00 FF FE 54 00 48 00 45 00 52 00 45 00 53 00 ....Т.Н.Е.Ћ.Е.5/ 
К Е 

00000010: 45 00 20 00 54 00 55 00 54 00 54 00 4С 00 45 00 Е. .Т.О.Т.Т..Е2 
>. 

00000020: 66 66 66 66 66 1E 63 40 D4 07 07 1A 00 07 07 19 ТТТТЇТ.с@/ 
нра ка 


OrderID= 172 name= THERESE TUTTLE ѕит= 152.95 даїе= 2004 / 7 / 26 


(Последние байты 07 07 19 скопированы из предыдущего незашифрованного 
буфера.) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Еще два подряд идущих буфера: 


00000000: Өр 00 ЕЕ ЕЕ 4С 00 4F 00 52 00 45 ӨӨ 4E 00 45 06 ....1.0.В.Е. М. ЕР 
00000010; 20 00 АҒ 00 54 06 4F 00 4F ӨӨ 4С 00 45 00 Ср СС .0.7.0.0.1.Е2 
00006628: СС СС СС 3C 5E 40 D4 07 69 62 ча... 
ОгаегІр= 285 name= LORENE OTOOLE ѕит= 120.95 даїе= 2004 / 9 / 2 

00000000: ӨС 00 FF FE 40 00 45 00 4С 00 41 00 ДЕ 00 49 00 ....М.Е.Ё.А.М. Те 
09096010: 45 өв 20 00 4B оо 49 00 52 00 ав 09 оо 00 00 80 Е. .K.I.R.KZ 
00606020: 00 20 64 40 04 07 09 02 00 62 че...... 


OrderID= 286 name= MELANIE KIRK зит= 161.0 date= 2004 / 9/2 


Последний байт 02 был скопирован из предыдущего незашифрованного буфе- 
ра. 


Возможно, что буфер использующийся для шифрования глобальный и/или не 
очищается перед каждым шифрованием. Размер последнего буфера тоже как- 
то хаотично меняется, тем не менее, ошибка не была отловлена потому что она 
не влияет на процесс дешифрования, который просто игнорирует шум в конце. 
Эта распространенная ошибка. Она была даже в OpenSSL (ошибка НеагіЫееа). 


8.7.9. Вывод 


Итог: каждый практикующий реверс-инженер должен быть знаком с основны- 
ми алгоритмами шифрования, а также с основными режимами шифрования. 
Некоторые книги об этом: 11.1.10 (стр. 1270). 


Зашифрованное содержимое БД было искусственно мною создано ради демон- 
страции. Я использовал наиболее популярные имена и фамилии в США, отсюда: 
http://stackoverflow.com/questions/1803628/raw- 1151 -о?- регѕоп-патеѕ, и 
скомбинировал их случайным образом. Даты и суммы были сгенерированы слу- 
чайным образом. 


Все файлы использованные в этой части здесь: һїїрѕ : //Бед1ппег$ . ге/раума11/ 
ВЕДВ - зоигсе/сиггеп* - Ёгее/ /ехатр1еѕ/епсгурїеа рві. 


Тем не менее, многие особенности как здесь, я наблюдал в настоящем ПО. Этот 
пример основан на них. 


8.7.10. Post Scriptum: перебор всех IV 


Пример, который вы только что видели, был искусственно создан, но основан 
на настоящем ПО которое я разбирал. Когда я над ним работал, я в начале за- 
метил, что |V генерируется используя некоторые 32-битное число, и я не мог 
найти связь между этим числом и Огаегір. Так что я приготовился использо- 
вать полный перебор, который тут действительно возможен. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Это не проблема перебрать все 32-битные значения и попробовать каждое как 
основу для М. Затем вы дешифруете первый 16-байтный блок и проверяете 
нулевые байты, которые всегда находятся на одних и тех же местах. 


8.8. Разгон майнера биткоинов Сош\тегга 


Был такой майнер биткоинов Сойт\егга, выглядящий так: 


-O ШЫ 
Т 


[асс ком LINYX 
Рс» | 


Рис. 8.14: Воага 


И была также (возможно утекшая) утилита?3 которая могла выставлять такто- 
вую частоту платы. Она запускается на дополнительной плате Веад!еВопе на 
АВМ с Ипих (маленькая плата внизу фотографии). 


И у автора (этих строк) однажды спросили, можно ли хакнуть эту утилиту и по- 
смотреть, какие частоты можно выставлять, и какие нет. И можно ли твикнуть 
её? 


23Можно скачать здесь: https : //редіппегѕ . ге/раума11/ВЕ4В- зоигсе/сиггеп* - ёгее/ /ехатр1еѕ/ 
ріїсоіп тіпег/ Ғ11еѕ/ соіпїоо1 - оуегс1осКк 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Утилиту нужно запускать так: ./со1пфоо1-омегсТоск 0 0 900, где 900 это ча- 
стота в МГц. Если частота слишком большая, утилита выведет ошибку «Еггог 
with arguments» и закончит работу. 


Вот фрагмент кода вокруг ссылки на текстовую строку «Error with arguments»: 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
: 0000ABE8 


.text 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
:0000АС54 


.text 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 


0000ABC4 
0000АВС8 
0000АВОО 
0000ABD4 
0000ABD8 
0000ABDC 
0000АВЕ0О 
0000АВЕ4 


0000АВЕС 
0000АВЕ0О 
0000АВЕ4 
0000АВЕ8 
0000АВЕС 
0000AC00 
0000АСО4 
0000АСО8 
0000АС10 
0000АС14 
0000АС18 
0000АС1С 
0000АС20 
0000АС24 
0000АС28 
0000АС2С 
0000AC30 
0000АСЗ4 
0000АСЗ8 
0000АСЗС 
0000АС40 
0000AC44 
0000AC48 
0000АС4С 
0000АС50 


0000АС58 
0000АС5С 
0000АС60 
0000АС64 
0000АС68 
0000АС6С 
0000АС70 
0000АС74 
0000АС78 
0000АС7С 


LDR 
CMP 


R3, [R11,#var_28] 
R3, #optind 

R3, [R3] 

R3, R3, #1 

R3, R3,LSL#2 

R2, [R11,#argv] 
R3, R2, R3 

R3, [R3] 

RO, R3 ; nptr 
R1, #0 ; endptr 
R2, #0 ; base 


R3, [R11,#var_2C] 
R3, #optind 

R3, [R3] 

R3, R3, #2 

R3, R3,LSL#2 

R2, [R11,#argv] 
R3, R2, R3 

R3, [R3] 

RO, R3 ; nptr 
R1, #0 ; endptr 
R2, #0 ; base 
strtoll 

R2, RO 


R3, [R11,#third_argument] 
R3, [R11,#var_28] 

R3, #0 
errors_with_arguments 

R3, [R11,#var_28] 

R3, #1 
errors_with_arguments 

R3, [R11,#var_2C] 

R3, #0 
errors_with_arguments 

R3, [R11,#var_2C] 

R3, #3 
errors_with_arguments 

R3, [R11,#third_argument] 
R3, #0x31 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
:0000АСАО 


.text 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
: 0000ACD0 


.text 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
: 0000ACF4 


.text 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
: 0000AD24 


.text 


.text: 
.text: 
.text: 
.text: 


0000АС80 
0000АС84 
0000АС88 
0000АС8С 
0000AC90 
0000АС94 
0000АС98 


0000АСА4 
0000АСА8 
0000АСАС 
0000АСВО 
0000АСВ4 
0000АСВ8 
0000АСВС 
0000АССО 
0000АСС4 
0000АСС4 
0000АСС4 
0000АСС4 
0000АСС8 
0000АССС 


0000ACD4 
0000ACD8 
0000АСЕ0О 
0000АСЕ4 
0000АСЕ8 
0000АСЕС 
0000АСЕС 
0000АСЕС 
0000АСЕС 
0000АСЕ0О 


0000АСЕ8 
0000АСЕС 
00004000 
09004004 
09004008 
09004008 
00004008 
00004008 
00004А00С 
09004010 
09004014 
09004018 
00004А01С 
00004020 


09004024 
09004024 
09004024 
00004028 


BLE 
LDR 
MOV 
CMP 
BGT 
LDR 
MOV 
SMULL 
MOV 
MOV 
RSB 
MOV 
MUL 
RSB 
CMP 
BEQ 


errors_with_arguments 

R2, [R11,#third_argument] 
R3, #950 

R2, R3 
errors_with_arguments 

R2, [R11,#third_argument] 
R3, #0x51EB851F 

R1, R3, R3, R2 

R1, R3,ASR#4 

R3, R2,ASR#31 

R3, R3, R1 

R1, #50 

R3, R1, R3 

R3, R3, R2 

R3, #0 

loc_ACEC 


errors_with_arguments 


loc_ACEC 


10с_А008 


Лос Ар24 
LDR 
MOV 


R3, [R11,#argv] 

R3, [R3] 

RO, R3 ; path 

__ хра_Базепамте 

АЗ, ВО 

RO, #aSErrorWithArgu ; format 
R1, R3 

printf 

loc_ADD4 


; CODE XREF: main+66C 
R2, [R11,#third_argument] 
R3, #499 
R2, R3 
loc_AD08 
R3, #0x64 
R3, [R11,#unk_constant] 
jump_to write_power 


; CODE XREF: ма1п+6А4 
R2, [R11,#third_argument] 
R3, #799 
R2, R3 
loc_AD24 
R3, #0x5F 
R3, [R11,#unk_constant] 
јчтр о write_power 


; CODE XREF: та1п+6С0 
R2, [R11,#third_argument] 
R3, #899 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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. text : 0000AD2C CMP R2, R3 

. text : 0000AD30 BGT loc_AD40 

. text : 0000AD34 MOV R3, #0x5A 

. text: 0000AD38 STR R3, [R11,#unk_constant] 
. text : 0000AD3C B jump_to write_power 


.text:0000AD40 ; ------------------------------------------------------------ 
. text : 0000AD40 


.text:0000AD40 loc Ар40 ; CODE XREF: main+6DC 
. text : 0000AD40 LDR R2, [R11,#third_argument] 

. text : 0000AD44 MOV R3, #999 

. text : 0000AD48 CMP R2, R3 

. text : 0000AD4C BGT loc_AD5C 

. text: 0000AD50 MOV R3, #0x55 

. text :0000AD54 STR R3, [R11,#unk_constant] 

. text : 0000AD58 B jump_to write_power 


.text:0000AD5C ; ------------------------------------------------------------ 
.Техт:0000А05С 


.text:0000AD5C loc AD5C ; CODE XREF: main+6F8 
. text: 0000Ар5С LDR R2, [R11,#third_argument] 

. text : 0000AD60 MOV R3, #1099 

. text : 0000AD64 CMP R2, R3 

. text : 0000AD68 BGT jump_to write_power 

. text : 0000AD6C MOV R3, #0x50 

. text :0000AD70 STR R3, [R11,#unk_constant] 

. text : 0000AD74 

.text:0000AD74 jump_to_write_power ; CODE XREF: main+6B0 
. text : 0000AD74 ; main+6CC ... 
. text : 0000AD74 LDR R3, [R11,#var_28] 

. text : 0000AD78 UXTB R1, R3 

. text : 0000AD7C LDR R3, [R11,#var_2C] 

. text : 0000AD80 UXTB R2, R3 

. text: 0000AD84 LDR R3, [R11,#unk_constant] 

. text : 0000AD88 UXTB R3, R3 

. text: 0000AD8C LDR RO, [R11,#third_argument] 

. text : 0000AD90 UXTH RO, RO 

. text : 0000AD94 STR RO, [SP,#0x44+var_44] 

. text : 0000AD98 LDR RO, [R11,#var_24] 

. text : 0000AD9C BL write _ power 

. text : 0000ADAQ LDR RO, [R11,#var_24] 

. text : 0000ADA4 MOV R1, #0x5A 

. text : 0000ADA8 BL read_loop 

. text : 0000ADAC B loc_ADD4 


. rodata :0000B378 aSErrorWithArgu DCB "%s: Error with агдитепіѕ",ОхА,0 ; DATA 
XREF: main+684 


Имена ф-ций присутствовали в отладочной информации в оригинальном NC- 
полняемом файле, такие как мг1Те_ромег, геаа 10оор. Но имена меткам внутри 
ф-ции дал я. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Имя optind звучит знакомо. Это библиотека getopt из *МІХ предназначенная 
для парсинга командной строки — и это то, что внутри и происходит. Затем, 
третий аргумент (где передается значение частоты) конвертируется из строку 
в число используя вызов ф-ции strtoll(). 


Значение затем сравнивается с разными константами. На ОхАСЕС есть про- 
верка, меньше ли оно или равно 499, и если это так, то 0х64 будет переда- 
но в ф-цию write ромег() (которая посылает команду через USB используя 
ѕепа тѕ9()). Если значение больше 499, происходит переход на 0хА008. 


На 0хА008 есть проверка, меньше ли оно или равно 799. Если это так, то Ох5Е 
передается в ф-цию write ромег(). 


Есть еще проверки: на 899 на 0хАр24, на 0x999 на ОхАО40, и наконец, на 1099 
на 0хАО5С. Если входная частота меньше или равна 1099, 0x50 (на ОхАОбС) бу- 
дет передано в ф-цию мг1{е ромег(). И тут что-то вроде баги. Если значение 
все еще больше 1099, само значение будет передано в ф-цию write ромег(). 
Но с другой стороны это не бага, потому что мы не можем попасть сюда: зна- 
чение в начале проверяется с 950 на 0хАС88, и если оно больше, выводится 
сообщение об ошибке и утилита заканчивает работу. 


Вот таблица между частотами в МГц и значениями передаваемыми в ф-цию 
мгіе ромег(): 


МГц шестнадцатеричное представление | десятичное 
499МН2 0х64 100 
799МН2 0x5f 95 

899MHz Ох5а 90 

999МН2 0х55 85 
1099МН2 | 0x50 80 


Как видно, значение передаваемое в плату постепенно уменьшается с ростом 
частоты. 


Видно что значение в 950МГц это жесткий предел, по крайней мере в этой 
утилите. Можно ли её обмануть? 


Вернемся к этому фрагменту кода: 


‚техї:0000АС84 LDR R2, [R11,#third_argument] 

. text : 0000AC88 MOV R3, #950 

. text: 0000АС8С CMP R2, R3 

. text: 0000АС90 BGT errors міїһ агдитепѕ ; Я пропатчил здесь на 00 
00 00 00 


Нам нужно как-то запретить инструкцию перехода BGT Ha OxAC90. И это ARM 
в режиме АКМ, потому что, как мы видим, все адреса увеличиваются на 4, т.е., 
длина каждой инструкции это 4 байта. Инструкция МОР (нет операции) в режи- 
ме ARM это просто 4 нулевых байта: 00 00 00 00. Так что, записывая 4 нуля 
по адресу ОхАС90 (или по физическому смещению в файле: 0х2С90) мы можем 
выключить эту проверку. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Теперь можно выставлять частоты вплоть до 1050МГц. И даже больше, но из- 
за ошибки, если входное значение больше 1099, значение в МГц, как есть, бу- 
дет передано в плату, что неправильно. 


Дальше я не разбирался, но если бы продолжил, я бы уменьшал значение пе- 
редаваемое в ф-цию write ромег(). 


Теперь страшный фрагмент кода, который я в начале пропустил: 


. text : 0000AC94 LDR R2, [R11,#third_argument] 

. text : 0000АС98 MOV R3, #0x51EB851F 

. text: 0000АСАО SMULL R1, R3, R3, R2 ; R3=3rg_arg/3.125 
. text : 0000ACA4 MOV R1, R3,ASR#4 ; R1=R3/16=3rg_arg/50 
. text: 0000ACA8 MOV АЗ, R2,ASR#31 ; R3=MSB(3rg_arg) 

. text: 0000ACAC RSB R3, R3, R1 ; R3=3rd_arg/50 

. text: 0000ACB0 MOV R1, #50 

. text : 0000ACB4 MUL R3, R1, R3 ; R3=50*(3rd_arg/50) 

. text: 0000АСВ8 RSB R3, R3, R2 

. text :0000ACBC CMP R3, #0 

. text: 0000АССО BEQ loc ACEC 


. text : 0000ACC4 
.text:0000ACC4 errors_with_arguments 


Здесь используется деление через умножение, и константа 0x51EB851F. Я Ha- 
писал для себя простой программистский калькулятор?“ И там есть возмож- 
ность вычислять обратное число по модулю. 


мо41п\32 (0х51ЕВ851Ғ) 
Warning, result is пої integer: 3.125000 
(unsigned) dec: 3 hex: 0x3 bin: 11 


Это значит что инструкция SMULL на ОхАСАО просто делит 3-й аргумент на 
3.125. На самом деле, все что делает ф-ция то91п\32 () в моем калькуляторе, 
это: 


1 232 


input ї 
ОЗО input 


Потом там есть дополнительные сдвиги и теперь мы видим что 3-й аргумент 
просто делится на 50. И затем умножается снова на 50. Зачем? Это простейшая 
проверка, можно ли делить входное значение на 50 без остатка. Если значение 
этого выражения ненулевое, х не может быть разделено на 50 без остатка: 


т 


z- (È) -50) 


На самом деле, это простой способ вычисления остатка от деления. 


И затем, если остаток ненулевой, выводится сообщение об ошибке. Так что эта 
утилита берет значения частот вроде 850, 900, 950, 1000, ит. д., но не 855 или 
911. 


244+ р$: //уигісһеу. сот/ргодса1с/ 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Вот и всё! Если вы делаете что-то такое, имейте ввиду, что это может испор- 
тить вашу плату, как и в случае разгона чипов вроде СРО, GPU?S, ит. д. Если у 
вас есть плата Соіпїегга, делайте всё это на свой собственный риск! 


8.9. Взлом простого шифровальщика исполняемо- 
го кода 

У нас есть исполняемый файл, зашифрованный относительно простым шифро- 

ванием. Вот он (здесь осталась только исполняемая секция). 


Прежде всего, всё что делает ф-ция шифрования это прибавляет номер пози- 
ции в буфере к байту. Вот как это можно описать: 


Листинг 8.9: Скрипт на Питоне 


#!/usr/bin/env python 
def е(1, k): 
return chr ((ord(i)+k) % 256) 


def encrypt (buf): 
return e(buf[0], 0)+ e(buf[1], 1)+ e(buf[2], 2) + e(buf[3], 3)+ e(bufZ2 
ъ [4], 4)+ e(buf[5], 5)+ e(buf[6], 6)+ e(buf[7], 7)+ 
e(buf[8], 8)+ e(buf[9], 9)+ e(buf[10], 10)+ e(buf[11], 11)+ e(z 
s buf[12], 12)+ e(buf[13], 13)+ e(buf[14], 14)+ e(buf[15], 15) 


Так, если вы зашифровываете буфер c 16-0 нулями, вы получаете 0, 1, 2, 3... 
12, 13, 14, 15. 


Также здесь используется “Propagating Cipher Block Chaining” (PCBC) (режим 
распространяющегося сцепления блоков шифра), и вот как он работает: 


Plaintext Plaintext Plaintext 


OCA _— лл ë ПШ 


Initialization Vector (IV) 
ШП —— Ф Ф 
block cipher block cipher block cipher 
© —| шоу | | © — "бу | | у рол | 


OCO ша ш 
Ciphertext Ciphertext Ciphertext 


Propagating Cipher Block Chaining (PCBC) mode encryption 


Рис. 8.15: Шифрование в режиме распространяющегося сцепления блоков 
шифра (иллюстрация взята из Wikipedia) 
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Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Проблема восстановить ІУ. Полный перебор не подходит, потому что IV слиш- 
ком длинный (16 байт). Посмотрим, сможем ли мы восстановить |V для произ- 
вольного зашифрованного исполняемого файла? 


Давайте попробуем простой частотный анализ. Это 32-битный исполняемый 
х86 код, так что попробуем собрать статистику о наиболее частых байтах и оп- 
кодах. Я пробовал огромный файл огасіе.ехе из Oracle RDBMS версии 11.2 для 
windows x86 и нашел, что самый часто встречающийся байт (и это не удивля- 
ет) это ноль ( 10%). Другой часто встречающийся байт (снова, не удивительно) 
ОхЕЕ ( 5%). Следующий Ох8В ( 5%). 


Ох8В это опкод инструкции MOV, и это действительно одна из самых исполь- 
зуемых инструкций в х86. А что насчет популярности нулевого байта? Если 
компилятору нужно закодировать значение более 127, он будет использовать 
32-битные значения (displacement) вместо 8-битных, но большие значения peg- 
ки (2.1.8 (стр. 581)), так что они дополняются нулями. Это справедливо как 
минимум для LEA, MOV, PUSH, CALL. 


Например: 
80 ВО 28 01 00 00 1еа esi, [еах+128һ] 
80 ВЕ 40 38 00 00 1еа edi, [edi+3840h] 


Смещения (displacements) более 127 очень популярны, но они редко превы- 
шают 0х10000 (действительно, настолько большие буфера/структуры также 
редки). 

Та же история с МО\, большие константы редки, наиболее часто используемые 


это 0, 1, 10, 100, 2", ит. д. Компилятору приходится дополнять маленькие кон- 
станты нулями, чтобы представить их в виде 32-битных значений. 


ВЕ 02 00 00 00 тоу edi, 2 
ВЕ 01 00 00 00 mov edi, 1 


Теперь o 00 n ЕЕ вместе: переходы (включая условные) и вызовы могут nepe- 
ходить по адресам вперед или назад, но очень часто, в пределах текущего 
исполняемого модуля. Если вперед, то смещение (displacement) не очень боль- 
шое и дополняется нулями. Если назад, то смещение представляется отрица- 
тельным значением, так что дополняется байтами ОхЕЕ. Например, перейти 
вперед: 


ЕЗ 43 ӨС 00 00 call _function1 
ЕЗ 5C 00 00 00 call _function2 
OF 84 FO OA 00 00 jz loc_4F09A0 
OF 84 EB 00 00 00 jz loc_4EFBB8 
Назад: 

E8 79 ӨС ЕЕ ЕЕ call _function1 
ЕВ F4 16 FF FF call _function2 
OF 84 F8 FB FF FF jz loc_8212BC 
OF 84 06 FD FF FF jz loc_FF1E7D 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Байт ОхҒҒ часто встречается в отрицательных смещения вроде этих: 


80 85 1Е ЕЕ ЕЕ ЕЕ Теа eax, [ebp-0E2h] 
8D 95 F8 5C FF FF lea edx, [ebp-0A308h] 


Пока всё понятно. Нам теперь нужно пробовать разные 16-байтные ключи, де- 
шифровать исполняемую секцию и измерять, как часто встречаются байты 0, 
ОхЕЕ и ОхЗВ. Также будем держать на виду схему, как работает дешифрование 
в режиме РСВС: 


Сірһегіехі Сірһегіехі Ciphertext 
TNA ЛП ПЛ 


Боск cipher Боск сїрһег Боск сїрһег 
кеу decryption Key decryption Key decryption 


Initialization Vector (IV) $ 


ON — Ф 
uom- ш шоп 
Plaintext Plaintext Plaintext 


Propagating Cipher Block Chaining (PCBC) mode decryption 


Рис. 8.16: Дешифрование в режиме распространяющегося сцепления блоков 
шифра (иллюстрация взята из Wikipedia) 


Хорошие новости в том, что нам не нужно дешифровать весь кусок данных, но 
только ломтик за ломтиком, точно так же, как я это делал в моем предыдущем 
примере: 9.1.5 (стр. 1186). 


Теперь я пробую все возможные байты (0..255) для каждого байта в ключе 
и просто выбираю тот байт, от которого будет максимальное число байтов 
0x0/0xFF/Ox8B в дешифрованном ломтике: 


#1 /иѕг/бріп/епу python 
import sys, hexdump, array, string, operator 


KEY_LEN=16 


def chunks(l, n): 
# split n by l-byte chunks 
# https ://stackoverflow.com/q/312443 
n = max(1, n) 
return [1[1:1 + п] for і in range(0, 1еп(1), n)] 


def read_file(fname): 
file=open(fname, mode='rb') 
content=file.read() 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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ҒіЛе. с10оѕе() 
return content 


def decrypt_byte (c, key): 
return chr((ord(c)-key) % 256) 


def ХОК РСВС step (IV, buf, К): 

prev=IV 

rt="" 

for c in buf: 
пем _c=decrypt_byte(c, К) 
plain=chr(ord(new_c)^ord(prev)) 
prev=chr(ord(c)^ord(plain)) 
rt=rt+plain 

return rt 


each_Nth_byte=[""]xKEY_LEN 


content=read_file(sys.argv[1]) 
# split input by 16-byte chunks: 
all_chunks=chunks (content, КЕҮ LEN) 
for c in all_chunks: 
for i in range(KEY LEN): 
each_Nth_byte[i]=each_Nth_byte[i] + c[i] 


# try each byte of key 
for N in range(KEY LEN): 
print "N=", N 
stat={} 
for i in range(256): 
tmp_key=chr (i) 
tmp=X0R_PCBC _step(tmp_key,each_Nth_byte[N], N) 
# count 0, FFs and 8Bs in decrypted buffer: 
important_bytes=tmp. count ('\x00')+tmp.count ('\xFF')+tmp. count ('\х8В/ 
1) 
ѕ+аї [і] =ітрог+апї Бу+еѕ 
ѕогіеа ѕїаї = sorted(stat.iteritems(), Кеу=орега+ог.іїетдеїтег(1), 2 
„ гемегѕе=Тгие) 
print sorted_stat[0] 


(Исходный код можно скачать здесь.) 


Запускаю и вот ключ, для которого присутствие байт 0/0хЕЕ/Ох8В в дешифро- 
ванном буфере максимально: 


№= 0 
(147, 1224) 
№= 1 
(94, 1327) 
№= 2 
(252, 1223) 
№= 3 
(218, 1266) 
№ 4 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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(143, 1177) 
№= 11 

(108, 1286) 
№= 12 

(10, 1164) 
№= 13 

(3, 1271) 
№= 14 

(128, 1253) 
№= 15 

(232, 1330) 


Напишем утилиту для дешифрования для полученного ключа: 


#!/usr/bin/env python 
import sys, hexdump, array 


def хог strings(s,t): 
# https://en.wikipedia.org/wiki/XO0R_cipher#Example implementation 
"""хог two strings together 
return "".join(chr(ord(a)^ord(b)) for a,b in zip(s,t)) 


IV=array.array('B', [147, 94, 252, 218, 38, 192, 199, 213, 225, 112, 143, к 
S 108, 10, З, 128, 232]).tostring() 


def chunks(l, n): 
n = max(1, n) 
return [1[1:1 + п] for і in range(0, 1еп(1), п)] 


def read_file(fname): 
file=open(fname, mode='rb') 
content=file.read() 
file.close() 
return content 


def decrypt_byte(i, k): 
return chr ((ord(i)-k) % 256) 


def decrypt (buf): 
return "".join(decrypt_byte(buf[i], i) for 1 in гапде(16)) 


fout=open(sys.argv[2], mode='wb') 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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prev=IV 


content=read_file(sys.argv[1]) 
tmp=chunks (content, 16) 


for c in tmp: 
пем _c=decrypt(c) 


p=xor_strings (new_c, prev) 


prev=xor_strings(c, р) 


fout.write(p) 
fout.close() 


(Исходный код можно скачать здесь.) 


Проверим итоговый файл: 


$ орјаитр -b binary -m 1386 -D Яесгуртеа. біп 


5: 8b ff 
7: 55 

8: 8b ec 
a: 51 

b: 53 

с: 33 ар 
е: 43 

f: 84 1d 
15 75 09 
17 ff 75 
la ҒҒ 15 
20: ба 6с 
22: ff 35 
28: ff 15 
2е: 89 45 
31: 85 c0 
33: Of 84 
39: 56 
За: 57 
3b: 6a 00 
3d: 50 
3e: ff 15 
44 8b 35 
4a 8b f8 
4c al e0 
51 3b 05 
57 75 12 
59 53 

5a 6a 03 
5c 57 

5d ff d6 


аб 


08 
bO 


54 
b4 
fc 


d9 


b8 
bc 


e2 
e4 


e2 


13 
99 
13 


00 


13 
13 


05 
е2 


05 


00 
01 
00 


00 


00 
00 


01 
05 


01 


01 


01 


01 


00 


01 


01 


01 


mov 
push 
mov 
push 
push 
xor 
inc 
test 
jne 
pushl 
call 
push 
pushl 
call 
mov 
test 
je 
push 
push 
push 
push 
call 
mov 
mov 
mov 
cmp 
jne 
push 
push 
push 
call 


%edi,%edi 

%ebp 

%esp,%ebp 

%есх 

%ерх 

%ерх ,%ebx 

%ерх 

%01, Өх105е2аб 
0x20 

0х8 (%ebp) 
x0x10013b0 
$0х6с 
0x101d054 
x0x10013b4 
%еах,—0х4(%ерр) 
%еах,%еах 
0х112 

%е51 

%edi 

$0x0 

%eax 
x0x10013b8 
0x10013bc,%esi 
%eax,%edi 
0x105e2e0,%eax 
0x105e2e4,%eax 
0x6b 

%ebx 

$0x3 

%edi 

*%ес51 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Да, выглядит как корректно дизассемблированный кусок х86-кода. Весь де- 
шифрованный файл можно скачать здесь. 


На самом деле, это исполняемая секция из гедедк.ехе из Windows 7. Но этот 
пример основан на реальном случае из моей практики, так что только испол- 
няемый файл другой (и ключ), а алгоритм тот же. 


8.9.1. Еще идеи для рассмотрения 


Что если бы не получилось с простым частотным анализом? Есть и другие идеи 
о том, как измерить корректность дешифрованного/разжатого х86-кода: 


• Многие современные компиляторы выравнивают начало ф-ций по 16-байтной 
границе. Так что пространство оставленное перед ними заполняется МОР- 
ами (0х90) или иными МОР-инструкциями с известными опкодами: .1.7 
(стр. 1302). Либо же инструкциями INT3 (0хСС). 


• Наверное, самый частый шаблонный код в ассемблере это вызов ф-ции: 
PUSH chain / CALL / ADD ESP, X. Эту последовательность легко обнару- 
живать и находить. Я даже собирал статистику о среднем количестве 
аргументов ф-ций: 10.3 (стр. 1246). (Т.е., это средняя длина цепи РОЅН- 
инструкций.) 


Читайте еще о некорректно/корректно дизассмеблированном коде: 5.11 (стр. 931). 


8.10. ЅАР 


8.10.1. Касательно сжимания сетевого траффика в клиенте 
$АР 


(Эта статья в начале появилась в моем блоге, 13-июля-2010.) 


(Трассировка связи между переменной окружения ТОМ/ МОСОМРВЕ$$ ЅАРСШІ26 
до «назойливого всплывающего окна» и самой функции сжатия данных.) 


Известно, что сетевой траффик между SAPGUI и SAP по умолчанию не шифру- 
ется, а сжимается 


(читайте здесь?7 и здесь?8). 


Известно также что если установить переменную окружения ТРИ/ МОСОМРКЕЅ5 
в 1, можно выключить сжатие сетевых пакетов. 


Но вы увидите окно, которое нельзя будет закрыть: 


26601-клиент от SAP 
27 пер: //6109.уигісһем. сот/пойе/44 
28 од.уџгісһем.сот 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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= $АР 
© “|4 сае оне апаа © 
SAP 


New password 


Client 00l Information 
Welcome to the IDES ЕСС 6.0 incl. EhP 4 


User м 
Password ЖЕЕ 

барди! 720 [/H/SAP 
Language 


= Environment information: 
о data compression switched off 


For maximum data security delete 
the setting{s) as soon as possible ! 


Рис. 8.17: Скриншот 


Посмотрим, сможем ли мы как-то убрать это окно. 


Но в начале давайте посмотрим, что мы уже знаем. Первое: мы знаем, что пе- 
ременная окружения ТРИ/ МОСОМРВЕ$$ проверяется где-то внутри клиента 
ЅАРСИІ. 


Второе: строка вроде «data compression switched off» также должна где-то npn- 
сутствовать. 


При помощи файлового менеджера ЕАВ?3мы можем найти обе эти строки в 
файле SAPguilib.dll. 


Так что давайте откроем файл SAPguilib.dll в IDA и поищем там строку ТРИ/ МОСОМРКЕ55. 
Да, она присутствует и имеется только одна ссылка на эту строку. 


Мы увидим такой фрагмент кода (все смещения верны для версии SAPGUI 720 
win32, SAPguilib.dll версия файла 7200,1,0,9009): 


. text :6440D51B lea eax, [ebp+2108h+var_ 211C] 

. text: 6440051Е push eax к int 

. text:6440D51F push offset аТам посотргеѕѕ ; 
"TDW_NOCOMPRESS" 

. text :6440D524 mov byte ptr [edi+15h], 0 

. text : 64400528 call chk_env 

. text: 6440D52D pop ecx 


29http://www. Ғагтападег. сот/ 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


1107 


„Техе:6440052Е 
. text :6440D52F 
. text :6440D534 


; demangled name: 


. text: 64400537 
. text :6440D53D 
. text :6440D53F 
.Техт: 64400541 


; demangled папе: 


.Хехї: 64400544 
. text :6440D54A 
. text :6440D54B 
. text:6440D551 
. text: 64400553 
. text:6440D556 


.ехі: 64400557 


рор 
push 
lea 


ecx 
offset byte 6444ЗАЕ8 
ecx, [ebp+2108h+var_211C] 


int ATL::CStringT::Compare(char const *)const 


call 
test 
jz 
lea 


ds:mfc90_1603 

eax, eax 

short loc 6440055А 

ecx, [ebp+2108h+var_211C] 


const char* ATL::CSimpleStringT::operator PCXSTR 


call 
push 
call 
test 
setnz 
pop 
mov 


ds:mfc90_910 

eax Í 
ds:atoi 

eax, eax 

al 

ecx 

[edi+15h], al 


SEF 


Строка возвращаемая функцией chk_env() через второй аргумент, обрабаты- 
вается далее строковыми функциями МЕС, затем вызывается афо1 ()3°. После 
этого, число сохраняется в edi+15h 


Обратите также внимание на функцию сһК епу (это мы так назвали её вруч- 


ную) 

.text:64413F20 ; int cdecl chk env(char *VarName, int) 
.text:64413F20 chk_env proc near 

. text :64413F20 

.text:64413F20 DstSize = dword ptr -0Ch 
.text:64413F20 var 8 = dword ptr -8 
.text:64413F20 DstBuf = dword ptr -4 
.text:64413F20 VarName = dword ptr 8 
.text:64413F20 arg_4 = dword ptr ӨСһ 

. text: 64413F20 

. text :64413F20 push ebp 

. text:64413F21 mov ebp, esp 

. text: 64413F23 sub esp, OCh 

. text :64413F26 mov [ebp+DstSize], 0 
. text :64413F2D mov [ebp+DstBuf], 0 

. text : 64413F34 push offset unk 6444С88С 
. text :64413F39 mov ecx, [ebp+arg_4] 


; (demangled name) ATL::CStringT::operator=(char const *) 


.text: 
.text: 
.text: 
.text: 


64413F3C 
64413F42 
64413F45 
64413F46 
. text :64413F49 
. text :64413F4A 
. text: 64413F4D 
. text :64413F4E 


call 
mov 
push 
mov 
push 
mov 
push 
lea 


ds:mfc90_820 


eax, [ebp+VarName] 

eax ; VarName 
ecx, [ebp+DstSize] 

ecx ; DstSize 
edx, [ebp+DstBuf] 

edx ; DstBuf 
eax, [ebp+DstSize] 


30Стандартная функция Си, конвертирующая число в строке B число 
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.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 


.text 


.text: 
.text: 
.text: 
.text: 


64413F51 
64413F52 
64413F58 
64413F5B 
64413F5E 
64413F62 
64413F64 
64413F66 
64413F68 
64413F68 
64413F68 
64413F6C 
64413F6E 
64413F70 
:64413F72 
64413F72 
64413F72 
64413F75 
64413F76 


loc 64413Е68: 


loc_64413F72: 


push 
call 
add 
mov 
cmp 
jz 
xor 
jmp 


cmp 
jnz 
xor 
jmp 


mov 
push 
mov 


eax ; ReturnSize 
ds:getenv_s 

esp, 10h 

[ебрр+маг 8], eax 
[ebp+var 8], 0 

short 1ос 64413ғ68 

еах, еах 

short 1ос 64413ЗЕВС 


[ebp+DstSize], 0 
short 1ос 64413Е72 
еах, еах 

short 1ос 64413ЗЕВС 


ecx, [ерр+051517е] 
есх 
ecx, [ерр+агд 4] 


; аетапо1еа пате: ATL::CSimpleStringT<char, 1>: : Ргеа1Л1осаїе (іпї) 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 


; demangled name: ATL::CSimpleStringT: : 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 


64413F79 
64413F7F 
64413F82 
64413F85 
64413F86 
64413F89 
64413F8A 
64413F8D 
64413F8E 
64413F91 
64413F92 
64413F98 
64413F9B 
64413F9E 
64413FA0 


64413FA3 
64413FA9 
64413FAD 
64413FAF 
64413FB1 
64413FB3 
64413FB3 
64413FB3 


loc_64413FB3: 


call 
mov 
mov 
push 
mov 
push 
mov 
push 
lea 
push 
call 
add 
mov 
push 
mov 


call 
cmp 
jz 
xor 
jmp 


mov 


ds:mfc90_2691 
[ebp+DstBuf], eax 

edx, [ebp+VarName] 

edx ; VarName 
eax, [ebp+DstSize] 

eax ; DstSize 
ecx, [ebp+DstBuf] 

ecx ; DstBuf 
edx, [ebp+DstSize] 

edx ; ReturnSize 
ds:getenv_s 

esp, 10h 

[ebp+var_8], eax 
OFFFFFFFFh 

ecx, [ebp+arg_4] 


ReleaseBuffer(int) 
ds :mfc90_5835 
[ebp+var 8], 0 
short loc 64413ЗЕВЗ 
eax, eax 

short loc 64413ЗЕВС 


ecx, [ebp+arg_4] 


; demangled name: const char* ATL::CSimpleStringT::operator PCXSTR 


.text 
.text 
.text 
.text 
.text 


: 64413FB6 
: 6441ЗЕВС 
: 6441ЗЕВС 
: 6441ЗЕВС 
: 6441ЗЕВС 


loc 64413ЕВС: 


call 


mov 


ds:mfc90_ 910 


esp, ebp 
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. text :64413FBE 
. text :64413FBF 
. text :64413FBF chk_env 


pop 
retn 
endp 


ebp 


Да. Функция деїепу $()31 это безопасная версия функции getenv ()?? в MSVC. 


Тут также имеются манипуляции со строками при помощи функций из МЕС. 


Множество других переменных окружения также проверяются. Здесь список 
всех переменных проверяемых SAPGUI а также сообщение записываемое им в 
лог-файл, если переменная включена: 


ОРТКАСЕ 
TDW_HEXDUMP 
TDW_WORKDIR 
TDW_SPLASHSRCEENOFF 


TDW_REPLYTIMEOUT 

TDW PLAYBACKTIMEOUT 
TDW_NOCOMPRESS 

TDW EXPERT 

TDW PLAYBACKPROGRESS 
TDW PLAYBACKNETTRAFFIC 
TDW PLAYLOG 

TDW PLAYTIME 

TDW LOGFILE 

TDW WAN 

TDW FULLMENU 

$АР_СР / SAP_CODEPAGE 
UPDOWNLOAD_CP 
SNC_PARTNERNAME 

ЅМС ООР 

ЅМС ШВ 

ЅАРСЏІ ИМРЕАСЕ 


“СШІ-ОРТІОМ: 
“СШІ-ОРТІОМ: 
“СШІ-ОРТІОМ: 
“GUI-OPTION: 
“GUI-OPTION: 
“GUI-OPTION: 
“GUI-OPTION: 
“GUI-OPTION: 
“GUI-OPTION: 
“GUI-OPTION: 
“GUI-OPTION: 
“GUI-OPTION: 
“GUI-OPTION: 
“GUI-OPTION: 
“GUI-OPTION: 
“GUI-OPTION: 
“GUI-OPTION: 
“GUI-OPTION: 
“GUI-OPTION: 
“GUI-OPTION: 
“GUI-OPTION: 
“GUI-OPTION: 


Trace set to %d” 

Hexdump enabled” 

working directory “%5”' 

Splash Screen Off” 

Splash Screen On” 

reply timeout %d milliseconds” 
PlaybackTimeout set to %d milliseconds” 
no compression read” 

expert mode” 

PlaybackProgress” 
PlaybackNetTraffic” 
/PlayLog is YES, file %s” 

/PlayTime set to %d milliseconds” 
TDW_LOGFILE ‘%5"' 

WAN - low speed connection enabled” 
FullMenu enabled” 

SAP_CODEPAGE ‘%d”' 
UPDOWNLOAD СР ‘%d” 

SNC пате ‘%s”' 

SNC_QOP ‘%s” 

SNC is set to: %s” 
environment variable SAPGUI_INPLACE is on” 


Настройки для каждой переменной записываются в массив через указатель B 
регистре ЕРІ. EDI выставляется перед вызовом функции: 


. text :6440EE00 

here like +0х15... 
. text : 6440EE03 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 


6440EE06 
6440EE0B 
6440EE0D 
6440EE0F 
6440EE11 
6440EE13 
6440EE14 


stopped after commandline interp"... 


. text :6440EE19 
. text:6440EE1F 


lea 


lea 
call 
mov 
xor 
cmp 
jz 
push 
push 


push 
call 


edi, [ebp+2884h+var 2884] ; options 


ecx, [esi+24h] 
load_command_line 
edi, eax 

ebx, ebx 

edi, ebx 

short loc 6440ЕЕ42 
edi 


offset aSapguiStoppedA ; "Sapgui 


dword_644F93E8 
РЕМТ гасеЕггог 


31MSDN 


32Стандартная функция Си, возвращающая значение переменной окружения 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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А теперь, можем ли мы найти строку data record mode switched оп? Да, и есть 
только одна ссылка на эту строку в функции. 


CDwsGui: :PrepareInfoWindow(). Откуда мы узнали имена классов/методов? Здесь 
много специальных отладочных вызовов, пишущих в лог-файл вроде: 


.Техт:64405160 push dword ptr [esi+2854h] 

.Техт:64405166 push offset aCdwsguiPrepare ; 
"\nCDwsGui: :PrepareInfoWindow: sapgui env"... 

. text :6440516B push dword ptr [esi+2848h] 

.text:64405171 call dbg 

.Техт:64405176 ааа esp, OCh 

...ИЛИ: 

. text : 6440237А push eax 

. text : 6440237B push offset aCclientStart_6 ; 
"CClient::Start: set shortcut user to '%"... 

. text: 64402380 push dword ptr [edi+4] 

. text : 64402383 call dbg 

. text : 64402388 add esp, OCh 


Они очень полезны. 


Посмотрим содержимое функции «назойливого всплывающего окна»: 


.text:64404F4F CDwsGui_ PrepareInfoWwindow proc near 
. text :64404F4F 

. text:64404F4F pvParam 
. text:64404F4F var 38 
. text:64404F4F var 34 
. text:64404F4F гс 
.text:64404F4F су 
.text:64404F4F h 
.text:64404F4F var 14 
.text:64404F4F var 10 


byte ptr -3Ch 
dword ptr -38h 
dword ptr -34h 
tagRECT ptr -2Ch 
dword ptr —1Ch 
dword ptr -18h 
dword ptr -14h 
dword ptr -10h 


.text:64404F4F маг 4 мога рег -4 

. text :64404F4F 

. text : 64404F4F push 30h 

. text: 64404F51 mov eax, offset loc 64438Е00 

. text :64404F56 call __ EH_prolog3 

. text :64404F5B mov esi, ecx ; ECX is pointer to 
object 

. text :64404F5D xor ebx, ebx 

. text :64404F5F lea ecx, [ebp+var_14] 

. text : 64404F62 mov [ebp+var_10], ebx 

; demangled name: ATL::CStringT(void) 

. text :64404F65 call ds:mfc90_316 

. text :64404F6B mov [ebp+var_4], ebx 

. text :64404F6E lea edi, [esi+2854h] 

. text :64404F74 push offset aEnvironmentInf ; 
"Environment information:\n" 

. text :64404F79 mov ecx, edi 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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; demangled пате: ATL::CStringT::operator=(char const *) 


. text : 64404F7B call 
. text :64404F81 cmp 
. text : 64404F84 mov 
. text : 64404F8A jbe 
. text :64404F8C push 
. text :64404F8F lea 
. text : 64404F92 push 
"working directory: '%s'\n" 
. text : 64404F97 push 


ds:mfc90_820 

[esi+38h], ebx 

ebx, ds:mfc90_ 2539 

short loc 64404ҒА9 
dword ptr [esi+34h] 

eax, [ebp+var_14] 

offset aWorkingDirecto ; 


eax 


; demangled name: ATL::CStringT::Format(char const *,...) 


. text :64404F98 call 
. text :64404F9A add 
. text :64404F9D lea 
. text : б4404ҒАО push 
. text:64404FA1 mov 


ebx ; mfc90 2539 
esp, OCh 

eax, [ebp+var_14] 
eax 

ecx, edi 


demangled name: ATL::CStringT::operator+=(class ATL::CSimpleStringT<char, 


. text: 64404FA3 call 
. text :64404FA9 

.text:64404FA9 1ос_64404ЕА9: 

. text :64404FA9 mov 
. text :64404FAC test 
. text :64404FAE jbe 
. text : 64404FB0 push 
. text :64404FB1 lea 
. text : 64404ЕВ4 push 


"trace level %d activated\n" 
. text : 64404FB9 push 


ds:mfc90_ 941 


eax, [esi+38h] 

eax, eax 

short loc 64404Ғ03 

eax 

eax, [ebp+var_14] 

offset aTraceLevelDAct ; 


eax 


; demangled name: ATL::CStringT::Format(char const *,...) 


. text :64404FBA call 
. text :64404FBC add 
. text :64404FBF lea 
. text : 64404FC2 push 
. text :64404FC3 mov 


ebx ; mfc90 2539 
esp, OCh 

eax, [ebp+var_14] 
eax 

ecx, edi 


demangled name: ATL::CStringT::operator+=(class ATL::CSimpleStringT<char, 


. text :64404FC5 call 
. text :64404FCB xor 
. text:64404FCD inc 
. text :64404FCE mov 
. text :64404FD1 jmp 
. text: 64404FD3 

.text:64404FD3 loc_64404FD3: 

. text :64404FD3 xor 
. text: 64404Ер5 inc 
. text: 64404Е06 

.text:64404FD6 loc 64404706: 

. text : 64404FD6 cmp 
. text : 64404FD9 jbe 


ds:mfc90_ 941 

ebx, ebx 

ebx 

[ebp+var_10], ebx 
short loc _64404FD6 


ebx, ebx 
ebx 


[esi+38h], ebx 
short loc 64404ЕЕ1 


1> const &) 


1> const &) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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. text : 64404FDB cmp dword ptr [esi+2978h], 0 

. text : 64404FE2 jz short loc_64404FF1 

. text :64404FE4 push offset aHexdumpInTrace ; 
"hexdump in trace activated\n" 

. text: 64404ҒЕ9 mov ecx, edi 


; demangled name: ATL::CStringT::operator+=(char const *) 
. text : 64404ҒЕВ call ds:mfc90_945 

. text:64404FF1 

.text:64404FF1 loc 64404FF1: 

. text:64404FF1 


.text:64404FF1 cmp byte ptr [esi+78h], 0 

. text :64404FF5 jz short 1ос 64405007 

. text: 64404FF7 push offset aLoggingActivat ; 
"Logging activated\n" 

. text :64404FFC mov ecx, edi 

; demangled name: ATL::CStringT::operator+=(char const *) 

. text: 64404FFE call ds:mfc90_945 

. text: 64405004 mov [ebp+var_10], ebx 


. text:64405007 
.text:64405007 loc 64405007: 


. text: 64405007 cmp byte ptr [esi+3Dh], 0 

. text :6440500B jz short bypass 

. text :6440500D push offset aDataCompressio ; 
"data compression switched off\n" 

.Техт: 64405012 mov ecx, edi 

; demangled name: ATL::CStringT::operator+=(char const *) 

. text: 64405014 call ds:mfc90_945 

. text :6440501A mov [ebp+var_10], ebx 


.text:6440501D 
.text:6440501D bypass: 


.text:6440501D mov eax, [esi+20h] 

. text:64405020 test eax, eax 

.text:64405022 jz short loc 6440503А 

. text: 64405024 cmp dword ptr [eax+28h], 0 

. text: 64405028 jz short loc 6440503А 

. text :6440502A push offset aDataRecordMode ; 
"data record mode switched on\n" 

. text :6440502F mov ecx, edi 

; demangled name: ATL::CStringT::operator+=(char const *) 

. text: 64405031 call ds:mfc90_945 

. text : 64405037 mov [ebp+var_10], ebx 


. text :6440503A 
.text:6440503A loc 6440503А: 
. text :6440503A 


. text :6440503A mov ecx, edi 

. text :6440503C cmp [ebp+var_10], ebx 

. text: 6440503Е jnz loc 64405142 

. text: 64405045 push offset aForMaximumData ; 


"\nFor maximum data security delete\nthe s"... 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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; demangled пате: АТЬ: : С5+гіпдт: : орегаог+= (сһаг const *) 


. text :6440504A call ds:mfc90_945 

. text: 64405050 xor edi, edi 

. text: 64405052 push edi ; fWinIni 
. text: 64405053 lea eax, [ebp+pvParam] 

. text: 64405056 push eax ; pvParam 
. text: 64405057 push edi ; uiParam 
. text: 64405058 push 30h ; uiAction 
. text :6440505A call ds :SystemParametersInfoA 
. text: 64405060 mov eax, [ebp+var_34] 

. text: 64405063 cmp eax, 1600 

. text: 64405068 jle short 1ос 64405072 

. text :6440506A cdq 

. text :6440506B sub eax, edx 

. text :6440506D sar eax, 1 

. text: 6440506Е mov [ebp+var_34], eax 


. text: 64405072 
.text:64405072 Лос 64405072: 


. text: 64405072 push edi ; hWnd 

. text: 64405073 mov [ebp+cy], ОАО 

. text :6440507A call ds :GetDC 

. text: 64405080 mov [ebp+var_10], eax 

. text: 64405083 mov ebx, 12Ch 

. text: 64405088 cmp eax, edi 

. text :6440508A jz loc 64405113 

. text: 64405090 push 11h х 1 
‚техї:64405092 call ds :GetStock0bject 

. text: 64405098 mov edi, ds:Select0bject 

. text :6440509E push eax ; h 

. text :6440509F push [ebp+var_10] ; hdc 

. text :644050A2 call edi ; SelectO0bject 

. text: 64405044 and [ebp+rc.left], 0 

. text: 644050А8 and [ebp+rc.top], 0 

. text: 644050АС mov [ebp+h], eax 

. text :644050AF push 401h ; format 
. text :644050B4 lea eax, [ebp+rc] 

. text: 64405087 push eax ; lprc 

. text :644050B8 lea ecx, [esi+2854h] 

. text :644050BE mov [ebp+rc.right], ebx 
.text:644050C1 mov [ebp+rc.bottom], 0B4h 

; demangled name: ATL::CSimpleStringT::GetLength(void) 

. text :644050C8 call ds:mfc90_3178 

. text:644050CE push eax ; cchText 
. text :644050CF lea ecx, [esi+2854h] 

; demangled name: const char* ATL::CSimpleStringT::operator PCXSTR 
. text :644050D5 call ds:mfc90_ 910 

. text :644050DB push eax ; lpchText 
. text:644050DC push [ebp+var_10] ; hdc 

. text: 644050рҒ call ds :DrawTextA 

. text:644050E5 push 4 ; nIndex 
. text :644050E7 call ds :GetSystemMetrics 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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.ехі: 644050Ер тоу ecx, [ebp+rc.bottom] 
. text :644050F0 sub ecx, [ebp+rc.top] 

. text: 644050F3 cmp [ebp+h], 0 

. text :644050F7 lea eax, [eax+ecx+28h] 

. text :644050FB mov [ebp+cy], eax 

. text :644050FE jz short 1ос 64405108 
.Хехї: 64405100 push [ebp+h] ; h 

. text:64405103 push [ebp+var_10] ; hdc 
.text:64405106 call edi ; Select0bject 


. text:64405108 
.text:64405108 loc 64405108: 


.Хехї: 64405108 push [ebp+var_10] ; hDC 
. text :6440510B push 0 ; hWnd 
.text:6440510D call ds :ReleaseDC 


. text: 64405113 
.text:64405113 loc 64405113: 


. text: 64405113 mov eax, [ebp+var_38] 

.Лехії: 64405116 push 80h ; uFlags 

. text:6440511B push [ebp+cy] СУ 
.Техт:6440511Е іпс еах 

. text:6440511F push ebx ; CX 

.Лехії: 64405120 push eax кү 

.Лехії: 64405121 mov eax, [ebp+var_34] 

. text :64405124 add eax, OFFFFFED4h 

.Хехї: 64405129 cdq 

. text:6440512A sub eax, edx 

„.Техт:6440512С sar eax, 1 

. text :6440512E push eax Хх 

. text:6440512F push 0 ; hwndInsertAfter 
.Лехії: 64405131 push dword ptr [esi+285Ch] ; hWnd 
. text: 64405137 call ds : SetWindowPos 

„.Техт: 6440513, хог ерх, ebx 

.Хехії:644051ЗҒ іпс ерх 

.Хехї: 64405140 јтр short 1ос 64405140 


.Хехі: 64405142 
.text:64405142 Лос 64405142: 
.Хехі: 64405142 push offset byte 6444ЗАЕ8 


‚ demangled name: ATL::CStringT::operator=(char const *) 
. text: 64405147 call ds:mfc90_ 820 
.Техт: 64405140 

.1ехї:6440514р loc 6440514р: 


. text :6440514D cmp dword_6450B970, ebx 

. text: 64405153 jl short loc 64405188 

.text:64405155 call sub 6441С910 

. text :6440515A mov dword_644F858C, ebx 

.text:64405160 push dword ptr [esi+2854h] 

.Техт:64405166 push offset aCdwsguiPrepare ; 
"\nCDwsGui: :PrepareInfoWindow: sapgui env"... 

. text :6440516B push dword ptr [esi+2848h] 

.text:64405171 call dbg 

.Техт:64405176 ааа esp, OCh 

. text: 64405179 mov dword_644F858C, 2 

. text: 64405183 call sub 6441С920 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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. text:64405188 
.text:64405188 loc 64405188: 


. text: 64405188 or [ebp+var_4], OFFFFFFFFh 
. text :6440518C lea ecx, [ebp+var_14] 

; demangled name: ATL::CStringT:: CStringT() 

. text: 6440518F call ds:mfc90_ 601 

. text :64405195 call _ EH_epilog3 

. text :6440519A retn 


.text:6440519A CDwsGui_PrepareInfowindow endp 


ECX в начале функции содержит в себе указатель на объект (потому что это тип 
функции thiscall (3.19.1 (стр. 690))). В нашем случае, класс имеет тип, очевидно, 
СриѕСиі. В зависимости от включенных опций в объекте, разные сообщения 
добавляются к итоговому сообщению. 


Если переменная по адресу this+0x3D не ноль, компрессия сетевых пакетов 
будет выключена: 


.text:64405007 Лос 64405007: 


‚техї:64405007 стр byte ріг [еѕі+зрһ], 0 

. text :6440500B jz short bypass 

. text :6440500D push offset aDataCompressio ; 
"data compression switched off\n" 

. text :64405012 mov ecx, edi 

; demangled name: ATL::CStringT::operator+=(char const *) 

. text: 64405014 call ds:mfc90_945 

. text :6440501A mov [ebp+var_10], ebx 


.text:6440501D 
.text:6440501D bypass: 


Интересно, что в итоге, состояние переменной var_10 определяет, будет ли 
показано сообщение вообще: 


.Техт:6440503С стр [ебрр+маг 10], ерх 
.Техт:6440503Е jnz exit ; пропустить отрисовку 


; добавить строки "Рог maximum data security delete" / "the setting(s) аз 
soon as possible !": 


. text: 64405045 push offset aForMaximumData ; 
"\nFor maximum data security delete\nthe s"... 
. text :6440504A call ds:mfc90_945 ; 
ATL: : Сбїгіпот: : орегаог+= (сһћаг const *) 
.Лехі: 64405050 хог edi, edi 
. text:64405052 push edi > fwinIni 
. text : 64405053 lea eax, [ebp+pvParam] 
. text:64405056 push eax ; pvParam 
. text: 64405057 push edi ; и1Рагат 
. text: 64405058 push 30h ; uiAction 
. text :6440505A call ds :SystemParametersInfoA 
. text: 64405060 mov eax, [ebp+var_34] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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.Техт: 64405063 
„Техт: 64405068 
.ехі: 6440506А 
. text :6440506B 
. text:6440506D 
. text :6440506F 
. text:64405072 
.text:64405072 Лос 64405072: 


; начинает рисовать: 
.ехі: 64405072 


. text: 64405073 
. text :6440507A 


cmp 
jle 
cdq 
sub 
sar 
mov 


push 
mov 
call 


eax, 1600 

short loc_64405072 
eax, edx 

eax, 1 


[ebp+var_34], eax 


edi ; hWnd 
[ebp+cy], ©OAOh 
ds :GetDC 


Давайте проверим нашу теорию на практике. 


JNZ в этой строке ... 


„.Техт:6440503Е 


jnz 


exit ; пропустить отрисовку 


...заменим просто Ha JMP и получим SAPGUI работающим без этого назойливого 


всплывающего окна! 


Копнем немного глубже и проследим связь между смещением 0х15 в 10аа соттапа 11пе() 
(Это мы дали имя этой функции) и переменной this+0x3D в CDwsGui::PreparelnfoWindow. 


Уверены ли мы что это одна и та же переменная? 


Начинаем искать все места где в коде используется константа 0х15. Для та- 
ких небольших программ как ЅАРСИІ, это иногда срабатывает. Вот первое что 


находим: 


.text:64404C19 sub 64404С19 
. text :64404C19 
.text:64404C19 аго_0 

. text :64404C19 

. text:64404C19 

. text :64404C1A 

. text :64404C1B 

. text:64404C1C 

. text:64404C1D 

. text:64404C21 

. text :64404C23 

some unknown object. 

. text :64404C25 

. text: 64404C27 

. text :64404C2A 

. text :64404C2D 

. text :64404C30 

. text : 64404033 

. text :64404C36 

. text :64404C37 


proc near 
= dword ptr 4 

push ebx 

push ebp 

push esi 

push edi 

mov edi, [esp+10h+arg_0] 

mov eax, [edi] 

mov esi, ecx ; ESI/ECX are pointers to 
mov [esi], eax 

mov eax, [edi+4] 

mov [esi+4], eax 

mov eax, [edi+8] 

mov [esi+8], eax 

lea eax, [edi+0Ch] 

push eax 

lea ecx, [esi+0Ch] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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; demangled пате: АТГ: : С51гіпдт: : орегафог= (с1аѕ5 ATL::CStringT ... &) 

. text : 64404С3ЗА call ds:mfc90_817 

. text :64404C40 mov eax, [edi+10h] 

. text : 64404043 mov [esi+10h], eax 

. text :64404C46 mov al, [edi+14h] 

. text: 64404049 mov [esi+14h], al 

. text :64404C4C mov al, [edi+15h] ; copy byte from 0x15 
text: b4404C4F mov [esi+15h], al ; to 0x15 offset in 


CDwsGui object 


Эта функция вызывается из функции с названием CDwsGui::CopyOptions! И CHO- 
ва спасибо отладочной информации. 


Но настоящий ответ находится в функции CDwsGui::Init(): 


.text:6440B0BF Лос 6440В0ВЕ: 


. text : 6440B0BF mov eax, [ebp+arg_0] 

. text :6440B0C2 push [ebp+arg_4] 

. text :6440B0C5 mov [esi+2844h], eax 

. text : 6440B0CB lea eax, [esi+28h] ; ESI is pointer to 
CDwsGui object 

. text :6440B0CE push eax 

. text : 6440B0CF call CDwsGui_ CopyOptions 


Теперь ясно: массив заполняемый в 1оаа соттапа 11пе() на самом деле pac- 
положен в классе CDwsGui но по адресу this+0x28. 0x15 + 0x28 это 0x3D. ОК, 
мы нашли место, куда наша переменная копируется. 


Посмотрим также и другие места, где используется смещение 0x3D. Одно из 
таких мест находится в функции CDwsGui::SapguiRun (и снова спасибо отла- 
дочным вызовам): 


. text : 64409058 cmp [esi+3Dh], bl ; ESI is pointer to 
CDwsGui object 

. text : 64409D5B lea ecx, [esi+2B8h] 

.text:64409D61 setz al 

. text : 64409064 push eax ; arg_10 of 
CConnectionContext: :CreateNetwork 

. text :64409D65 push dword ptr [esi+64h] 

; demangled name: const char* ATL::CSimpleStringT::operator PCXSTR 

. text :64409D68 call ds:mfc90_ 910 

. text: 64409068 ; no arguments 

. text :64409D6E push eax 

. text :64409D6F lea ecx, [esi+2BCh] 

; demangled name: const char* ATL::CSimpleStringT::operator PCXSTR 

. text :64409D75 call ds:mfc90_910 

.ехі: 64409075 ; по arguments 

. text : 64409D7B push eax 

. text :64409D7C push esi 

. text :64409D7D lea ecx, [esi+8] 

. text : 64409D80 call CConnectionContext_ CreateNetwork 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Проверим нашу идею. 

Заменяем setz а1 здесь на хог eax, eax / пор, убираем переменную окруже- 

ния ТОМ/_МОСОМРВЕ$$ и запускаем SAPGUI. Ух! Назойливого окна больше нет 

(как и ожидалось: ведь переменной окружении также нет), но в Wireshark мы 

видим, что сетевые пакеты больше не сжимаются! Очевидно, это то самое ме- 

сто где флаг отражающий сжатие пакетов выставляется в объекте CConnectionContext. 


Так что, флаг сжатия передается в пятом аргументе функции 
ССоппесНопСопт{ехЕ::Сгеа!еМеймогк. Внутри этой функции, вызывается еще од- 
на: 


. text : 64403476 push [ebp+compression] 

. text : 64403479 push [ebp+arg_C] 

. text : 6440347С push [ebp+arg_8] 

. text : 6440347F push [ebp+arg_4] 

. text : 64403482 push [ebp+arg_0] 

. text : 64403485 call CNetwork__ СМе мо гк 


Флаг отвечающий за сжатие здесь передается в пятом аргументе для кон- 
структора CNetwork::CNetwork. 


И вот как конструктор CNetwork выставляет некоторые флаги в объекте CNetwork 
в соответствии с пятым аргументом и еще какую-то переменную, возможно, 
также отвечающую за сжатие сетевых пакетов. 


.Техт:644110Е1 стр [ерр+сотргеѕѕіоп], esi 

.Лехі:644110Е7 jz short set_EAX to 0 

.text:64411DF9 mov al, [ebx+78h] ; another value may 
affect compression? 

.text:64411DFC cmp al, '3' 

.text:64411DFE jz short set_EAX to_1 

.text:64411E00 cmp al, '4' 

. text :64411E02 jnz short set_EAX to 0 


. text :64411E04 
.text:64411E04 set_EAX їо 1: 


. text:64411E04 xor eax, eax 
.text:64411E06 inc eax ; EAX -> 1 
. text :64411E07 jmp short loc 64411Е0В 


.text:64411E09 

.text:64411E09 set_EAX to 0: 

.text:64411E09 

.text:64411E09 xor eax, eax ; EAX -> 0 

. text :64411E0B 

.text:64411E0B loc 64411E0B: 

. text :64411E0B mov [ebx+3A4h], eax ; EBX is pointer to 
CNetwork object 


Теперь мы знаем, что флаг отражающий сжатие данных сохраняется в классе 
CNetwork по адресу this+0x3A4. 


Поищем теперь значение 0хЗА4 в SAPguilib.dll. Находим второе упоминание это- 
го значения в функции CDwsGui::OnClientMessageWrite (бесконечная благодар- 
ность отладочной информации): 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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.text:64406F76 loc 64406F76: 

. text:64406F76 mov ecx, [ebp+7728h+var_7794] 

. text : 64406F79 cmp dword ptr [ecx+3A4h], 1 

. text :64406F80 jnz compression flag _is_zero 

. text: 64406ғ86 mov byte ptr [ebx+7], 1 

. text :64406F8A mov eax, [esi+18h] 

. text :64406F8D mov ecx, eax 

. text: 64406F8F test eax, eax 

. text :64406F91 ja short loc б4406ҒҒЕ 

. text :64406F93 mov ecx, [esi+14h] 

. text :64406F96 mov eax, [esi+20h] 

. text :64406F99 

.text:64406F99 loc 64406F99: 

. text: 64406ғ99 push dword ptr [edi+2868h] ; int 

. text : 64406F9F lea edx, [ebp+7728h+var_77A4] 

. text : 64406ҒА2 push edx ; int 

. text: 64406ҒАЗ push 30000 ; 1 

. text :64406FA8 lea edx, [ebp+7728h+Dst] 

. text :64406FAB push edx ; Dst 

. text:64406FAC push ecx = int 

. text:64406FAD push eax ; Src 

. text :64406FAE push dword ptr [edi+28C0h] ; int 

. text : 64406ЕВ4 call sub 644055С5 ; actual 
compression routine 

. text : 64406ЕВ9 add esp, 1Ch 

. text :64406FBC cmp eax, OFFFFFFF6h 

. text : 64406FBF jz short loc 64407004 

.text:64406FC1 cmp eax, 1 

. text :64406FC4 jz loc 6440708С 

. text: б4406ҒСА cmp eax, 2 

. text : 6б4406ЕСр jz short loc 64407004 

. text :64406FCF push eax 

. text :64406FD0 push offset aCompressionErr 
"compression error [rc = %d]- program wi"... 

. text: 64406Е05 push offset aGui_err_compre ; 
"GUI_ERR_COMPRESS " 

. text: 64406FDA push dword ptr [edi+28D0h] 

. text :64406FE0 call SapPcTxtRead 


Заглянем в функцию sub_644055C5. Всё что в ней мы находим это вызов тетсру() 
и еще какую-то функцию, названную IDA sub 64417440. 


И теперь заглянем в 5и6 64417440. Увидим там: 


.Техт:6441747С push offset аЕггогСѕгсотрге ; 
"\nERROR: CsRCompress: invalid handle" 

. text:64417481 call eax ; dword 644F94C8 

. text: 64417483 add esp, 4 


Voilà! Мы находим функцию которая собственно и сжимает сетевые пакеты. 
Как уже было видно в прошлом 33, эта функция используется в ЅАР и в опен- 
сорсном проекте MaxDB. Так что эта функция доступна в виде исходников. 


33http://conus.info/utils/SAP_pkt_decompr.txt 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Последняя проверка: 


. text :64406F79 cmp dword ptr [ecx+3A4h], 1 
. text :64406F80 jnz compression flag 1ѕ лего 


Заменим JNZ на безусловный переход JMP. Уберем переменную окружения TDW_NOCOMPRESS. 
Вуаля! 


В Wireshark мы видим, что сетевые пакеты, исходящие от клиента, не сжаты. 
Ответы сервера, впрочем, сжаты. 


Так что мы нашли связь между переменной окружения и местом где функция 
сжатия данных вызывается, а также может быть отключена. 


8.10.2. Функции проверки пароля в ЅАР 6.0 


Когда автор этой книги в очередной раз вернулся к своему SAP 6.0 IDES 3a- 
инсталлированному в виртуальной машине VMware, он обнаружил что забыл 
пароль, впрочем, затем он вспомнил его, но теперь получаем такую ошибку: 


«Password logon по longer possible - too тапу failed attempts», потому что были 
потрачены все попытки на то, чтобы вспомнить его. 


Первая очень хорошая новость состоит в том, что с ЅАР поставляется полный 
РОВ-файл disp+work.pdb, он содержит все: имена функций, структуры, типы, 
локальные переменные, имена аргументов, и т.д. Какой щедрый подарок! 


Существует утилита ТҮРЕІМЕОРОМР?* для дампа содержимого РОВ-файлов во 
что-то более читаемое и дгер-абельное. 


Вот пример её работы: информация о функции + её аргументах + её локаль- 
ных переменных: 


FUNCTION ThVmcSysEvent 
Address: 10143190 Size: 675 bytes Index: 60483 2 
S TypeIndex: 60484 
Type: int NEAR С ThVmcSysEvent (unsigned int, unsigned char, unsigned / 
4 short*) 
Flags: 0 
PARAMETER events 
Address: Reg335+288 Size: 4 bytes Index: 60488 TypeIndex: 4 
S 60489 
Туре: unsigned int 
Flags: 90 
PARAMETER opcode 
Address: Reg335+296 Size: 1 bytes Index: 60490 TypeIndex: 2 
60491 
Туре: unsigned char 
Flags: 90 
PARAMETER serverName 
Address: Reg335+304 Size: 8 bytes Index: 60492 TypeIndex: 2 
60493 
Туре: unsigned short 


34http://www.debuginfo.com/tools/typeinfodump.html 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Flags: 90 
STATIC ОСА МАА func 
Address: 12274af0 Size: 8 bytes Index: 60495 / 
S TypeIndex: 60496 
Type: мсһаг ж 
Flags: 80 
ОСА МАА аатһеаа 
Address: Reg335+304 Size: 8 bytes Index: 60498 TypeIndex: 4 
s 60499 
Туре: unsigned сһагж 
Flags: 90 
ОСА МАК record 
Address: Вед335+64 Size: 204 bytes Index: 60501 ТуреТпдех: 2 
60502 
Туре: AD RECORD 
Flags: 90 
LOCAL МАА adlen 
Address: Reg335+296 Size: 4 bytes Index: 60508 TypeIndex: 4 
ъ 60509 
Туре: 1пї 
Flags: 90 


А вот пример дампа структуры: 


STRUCT DBSL_ 5ТМТІЮ 
Size: 120 Variables: 4 Functions: 0 Base classes: 0 
MEMBER moduletype 

Туре: DBSL MODULETYPE 

Offset: 0 Index: 3 ТуреТпаех: 38653 
MEMBER module 

Type: wchar t module[40] 


Offset: 4 Index: 3 TypeIndex: 831 
MEMBER stmtnum 

Type: long 

Offset: 84 Index: 3 TypeIndex: 440 


MEMBER timestamp 
Туре: мсһаг t timestamp[15] 
Offset: 88 Index: 3 ТуреТпаех: 6612 


Bay! 


Вторая хорошая новость: отладочные вызовы, коих здесь очень много, очень 
полезны. 


Здесь вы можете увидеть глобальную переменную сЁ /еуе!?, отражающую ypo- 
вень трассировки. 


В disp+work.exe очень много таких отладочных вставок: 


стр cs:ct_level, 1 
11 short 1ос 1400375рА 
са11 DpLock 


З5Еще об уровне трассировки: http://help.sap.com/saphelp nwpi71/helpdata/en/46/ 
962416а5аб13е8е10000000а155369/сопіепі.һЕт 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Теа rcx, аррххїоо14 c ; "арххїоо14. с" 

тоу edx, 4Eh ; line 

call CTrcSaveLocation 

mov r8, cs:func_48 

mov rcx, cs:hdl ; hdl 

lea rdx, aSDpreadmemvalu ; "%5: DpReadMemValue (%d)" 
mov r9d, ebx 

call DpTrcErr 

call DpUnlock 


Если текущий уровень трассировки выше или равен заданному в этом коде NO- 
рогу, отладочное сообщение будет записано в лог-файл вроде деуи и/0, деу а!5р 
и прочие файлы dev*. 


Попробуем дгер-ать файл недавно полученный при помощи утилиты TYPEINFODUMP: 


cat "аіѕр+могк.рар.а" | grep FUNCTION | grep -i password 


Получаем: 


FUNCTION гсиі: : АдіРаѕѕмога: : ріадїЅе1ес+іоп 

FUNCTION 55# раѕѕмога епсгурї 

FUNCTION 55# раѕѕмога есгуртї 

FUNCTION раѕѕмога 1одоп аіѕар1еа 

FUNCTION ауѕідпЅКкірОѕегРаѕѕмо га 

FUNCTION тідгаїе раѕѕмога һіѕїогу 

FUNCTION раѕѕмога 15 _1п1{1а1 

FUNCTION гсиі: : АдіРаѕѕмога: : 1$\/15161е 

FUNCTION раѕѕмога діѕТапсе ок 

FUNCTION get раѕѕмога downwards compatibility 

FUNCTION dySignUnSkipUserPassword 

FUNCTION rcui::AgiPassword: :GetTypeName 

FUNCTION `rcui::AgiPassword::AgiPassword'::`1'::dtor$2 
FUNCTION `rcui::AgiPassword::AgiPassword'::`1'::dtor$0 
FUNCTION `rcui::AgiPassword::AgiPassword'::`1'::dtor$1 
FUNCTION usm set_password 

FUNCTION rcui::AgiPassword::TraceTo 

FUNCTION days _ since 1аѕї раѕѕмога сһапде 

FUNCTION гѕесдгр generate_random password 

FUNCTION rcui::AgiPassword::`scalar deleting destructor ' 
FUNCTION password _ attempt_limit_exceeded 

FUNCTION handle _incorrect_password 

FUNCTION `rcui::AgiPassword::`scalar deleting destructor''::`ò1'::dtor$1 
FUNCTION calculate new password_hash 

FUNCTION shift_password_to_history 

FUNCTION rcui::AgiPassword: :GetType 

FUNCTION found_password_in_history 

FUNCTION `rcui::AgiPassword::`scalar deleting destructor''::`1'::dtor$0 
FUNCTION rcui::Agi0bj::IsaPassword 

FUNCTION password_idle_check 

FUNCTION SlicHwPasswordForDay 

FUNCTION гсиі: : АдіРаѕѕмога: : ІѕаРаѕѕмога 

FUNCTION гсиі: : АдіРаѕѕмога: : АдіРаѕѕмога 

FUNCTION delete џиѕег раѕѕмога 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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FUNCTION usm ѕеї изег_ раѕѕмога 

FUNCTION Раѕѕмога АРІ 

FUNCTION деф раѕѕмога сһапде for 550 

FUNCTION раѕѕмога іп USR40 

FUNCTION гѕес адгр арар депегае random password 


Попробуем так же искать отладочные сообщения содержащие слова «password» 
и «locked». Одна из таких это строка «user was locked Бу subsequently failed 
password logon attempts» на которую есть ссылка в 

функции password_attempt Итй_ехсееаец(). 


Другие строки, которые эта найденная функция может писать в лог-файл это: 
«password logon attempt will be rejected immediately (preventing dictionary attacks)», 
«failed-logon lock: expired (but not removed дие to 'read-only’ operation)», «failed- 
logon lock: expired => removed». 


Немного поэкспериментировав с этой функцией, мы быстро понимаем, что про- 
блема именно в ней. Она вызывается из функции сћскраѕ5() — одна из функций 
проверяющих пароль. 


В начале, давайте убедимся, что мы на верном пути: 


Запускаем {гасег: 


їгасегб4.ехе -а:4915р+могК.ехе БрТ=а15р+могК.ехе ! сһскраѕ5,агдѕ:3, ипісойе 


РТО=2236 | ТТО=2248 | (0) аіѕр+могк.ехе! сһскраѕ5 (0х202с770, І "Вгемегеа1 2 
а ", 0x41) (called from 0х140211060 (аіѕр+могкК. / 
„ ехе! иѕгехіѕі+0хЗс0)) 

РІр=2236 |710=2248 | (0) аіѕр+могк.ехе!сһскраѕ5 -> 0x35 


Функции вызываются так: ѕуѕѕідпі() -> DylSigni() -> dychkusr() -> usrexist() -> 
chckpass(). 


Число 0x35 возвращается из chckpass() в этом месте: 


.1ехї:00000001402Е0567 1ос 1402Е0567: ; CODE XREF: 
chckpass+B4 
. text :00000001402ED567 mov rcx, rbx ; usr02 
. text : 00000001402Ер5бА call password_idle_check 
. text :00000001402ED56F cmp eax, 33h 
. text :00000001402ED572 jz loc 1402ЕрВ4Е 
. text :00000001402ED578 cmp eax, 36h 
.Хехї:00000001402Е057В jz loc 1402EDB3D 
. text :00000001402ED581 xor edx, edx ; 
иѕг02 readonly 
. text :00000001402ED583 mov rcx, rbx ; usr02 
. text :00000001402ED586 call 2 


 раѕѕмога а+етрі 1ітії ехсеедеа 


. text :00000001402ED58B test al, al 

. text: 00000001402Е058р jz short loc 1402ED5A0 
. text :00000001402ED58F mov eax, 35h 

. text :00000001402ED594 add rsp, 60h 

. text :00000001402ED598 pop r14 
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. text: 00000001402Ер59А pop r12 
. text :00000001402ED59C pop rdi 
. text :00000001402ED59D pop rsi 
. text :00000001402ED59E pop rbx 
. text :00000001402ED59F retn 


Отлично, давайте проверим: 


їгасегб4.ехе -а:415р+могК.ехе БрТ=а15р+могК.ехе! 2 
> password а+етрї 1ітії ехсеедед, агд$ :4,ипісоде, г*: 9 


Р10=2744 | ТТО=360 | (0) disp+work.exe!password attempt_limit_exceeded (02 
S х202с770, 0, 0х257758, 0) (called from 0х1402еа586 (а15р-+могК.ехе!/ 
ъ сһскраѕѕ+0хер)) 
РТО=2744 | ТІр=360 | (0) а1і5ѕр+могК.ехе! раѕѕмога аїетрі 1ітії ехсеейеа -> 1 
РІр=2744 |Т10=360 |Ме modify return value (ЕАХ/ВАХ) о? this function to 0 
РТО=2744 | ТІ0=360 | (0) аіѕр+могК.ехе! раѕѕмога а+етрї 1ітії ехсеедеа (07 
У х202с770, 0, 0, 0) (called from 0х1402е9794 (415р+могК.ехе ! сһпдраѕ5+0,2 
„ хе4)) 
Р10=2744 | Т10=360 | (0) а15р+могК.ехе! раѕѕмога аїетрі 1ітії ехсеейеа -> 1 
РІр=2744 |Т10=360 |Ме modify return value (ЕАХ/ВАХ) о? this function to 0 


Великолепно! Теперь мы можем успешно залогиниться. 


Кстати, мы можем сделать вид что вообще забыли пароль, заставляя сһскраѕ5() 
всегда возвращать ноль, и этого достаточно для отключения проверки пароля: 


їгасегб4. ехе -а:аіѕр+могк.ехе Бр#=аіѕр+могк. ехе! сһскраѕѕ, агдѕ:3, ипісойе, гї 


S :0 
Р10=2744 | ТТО=360 | (0) disp+work.exe!chckpass (0х202с770, L"bogus 2 
G ", 0x41) (called from 0x1402f1060 (disp+work. / 


„ exe!usrexist+0x3c0)) 
PID=2744|TID=360| (0) disp+work.exe!chckpass -> 0x35 
PID=2744|TID=360|We modify return value (ЕАХ/ВАХ) of this function to 0 


Что еще можно сказать, бегло анализируя функцию 
раѕѕиога аЙйетрЕ Итй ехсеедец(), это то, что в начале можно увидеть следу- 
ющий вызов: 


lea rcx, aLoginFailed_us ; "login/failed_user_auto_unlock" 
call sapgparam 

test rax, rax 

jz short loc_1402E19DE 
ПОМ2Х eax, мога ріг [rax] 
стр ах, '№' 

ј2 short 1ос 1402Е19р4 
стр ах, 'п' 

ј2 short 1ос 1402Е19р4 
стр ах, '0' 

jnz short loc_1402E19DE 
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Очевидно, функция ѕардрагат() используется чтобы узнать значение какой- 
либо переменной конфигурации. Эта функция может вызываться из 1768 раз- 
ных мест. 


Вероятно, при помощи этой информации, мы можем легко находить те места 
кода, на которые влияют определенные переменные конфигурации. 


Замечательно! Имена функций очень понятны, куда понятнее чем в Огасіе 
RDBMS. 


По всей видимости, процесс disp+work весь написан на Си++. Должно быть, 
он был переписан не так давно? 


8.11. Огасіе ВОВМ$ 


8.11.1. Таблица \$\/ЕВЗТОМ в Oracle RDBMS 


Oracle RDBMS 11.2 это очень большая программа, основной модуль oracle.exe 
содержит около 124 тысячи функций. Для сравнения, ядро Windows 7 x64 (ntoskrnl.exe) 
— около 11 тысяч функций, а ядро Linux 3.9.8 (с драйверами по умолчанию) — 

31 тысяч функций. 


Начнем с одного простого вопроса. Откуда Oracle RDBMS берет информацию, 
когда мы в SQL*Plus пишем вот такой вот простой запрос: 


SQL> select ж from V$VERSION; 


И получаем: 


BANNER 


Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production 
PL/SQL Release 11.2.0.1.0 – Production 

CORE 11.2.0.1.0 Production 

TNS for 32-bit Windows: Version 11.2.0.1.0 – Production 

NLSRTL Version 11.2.0.1.0 – Production 


Начнем. Где в самом Oracle RDBMS мы можем найти строку V$VERSION? 
Для мт32-версии, эта строка имеется в файле огас1е. ехе, это легко увидеть. 


Но мы также можем использовать объектные (.о) файлы от версии Oracle RDBMS 
для Linux, потому что в них сохраняются имена функций и глобальных перемен- 
ных, а в огас1е.ехе для win32 этого нет. 


Итак, строка V$VERSION имеется в файле Кат. о, в самой главной Огасіе-библиотеке 
1165егуег11.а. 


Ссылка на эту текстовую строку имеется в таблице kqfviw, размещенной в 
этом же файле kqf.o: 


Листинг 8.10: kqf.o 
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.года+а :0800С4А0 kqfviw dd ОВһ ; DATA XREF: kqfchk:loc 8003А6р 
. rodata : 0800С4А0 ; kqfgbn+34 

. rodata :0800C4A4 dd offset 2 STRING 10102 Ө ; "GV$WAITSTAT" 
. rodata : 0800С4А8 dd 4 

. rodata :0800C4AC dd offset 2 STRING 10103 0 ; "NULL" 
. rodata :0800C4B0 dd 3 

. rodata :0800C4B4 dd 0 

. rodata :0800C4B8 dd 195h 

. rodata :0800C4BC dd 4 

. rodata :0800C4C0 dd 0 

. rodata :0800С4С4 dd OFFFFC1CBh 

. rodata :0800C4C8 dd 3 

. rodata :0800C4CC dd 0 

. rodata :0800C4D0 dd ӨАһ 

. rodata :0800C4D4 dd offset 2 STRING 10104 0 ; "“V$WAITSTAT" 
. rodata :0800C4D8 dd 4 

. rodata :0800C4DC dd offset 2 STRING 10103 0 ; "NULL" 
. rodata :0800C4E0 dd 3 

. rodata :0800C4E4 dd 0 

. rodata :0800C4E8 dd 4Eh 

. rodata :0800C4EC dd 3 

. rodata :0800C4F0 dd 0 

. rodata :0800C4F4 dd ОЕЕЕЕСОӨЗһ 

. rodata :0800C4F8 dd 4 

. rodata :0800C4FC dd 0 

. rodata :0800C500 dd 5 

. rodata :0800С504 dd offset 2 STRING 10105 0 ; "GV$BH" 
. rodata :0800C508 dd 4 

. rodata :0800C50C dd offset 2 STRING 10103 0; "NULL" 
. rodata :0800C510 dd 3 

. rodata :0800C514 dd 0 

. rodata :0800C518 dd 269h 

. rodata :0800С51С dd 15h 

. rodata :0800C520 dd 0 

. rodata :0800С524 dd OFFFFC1EDh 

. rodata :0800C528 dd 8 

. rodata :0800C52C dd 0 

. rodata :0800C530 dd 4 

. rodata :0800C534 dd offset 2 STRING 10106 0 ; "V$BH" 
. rodata :0800C538 dd 4 

. rodata :0800C53C dd offset 2 STRING 10103 0; "NULL" 
. rodata :0800C540 dd 3 

. rodata :0800C544 dd 0 

. rodata :0800C548 dd OF5h 

. rodata :0800C54C dd 14h 

. rodata :0800C550 dd 0 

. rodata:0800C554 dd ОЕЕЕЕС1ЕЕһ 

. rodata :0800C558 dd 5 

. rodata :0800C55C dd 0 

Кстати, нередко, при изучении внутренностей Oracle RDBMS, появляется BO- 


прос, почему имена функций и глобальных переменных такие странные. Веро- 
ятно, дело в том, что Oracle RDBMS очень старый продукт сам по себе и писался 
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на Си еще в 1980-х. 


А в те времена стандарт Си гарантировал поддержку имен переменных ANM- 
ной только до шести символов включительно: «6 significant initial characters іп 
ап external іаепёійег»26 


Вероятно, таблица kqfviw содержащая в себе многие (а может даже и все) 
view с префиксом V$, это служебные view (fixed views), присутствующие BCE- 
гда. Berno оценив цикличность данных, мы легко видим, что в каждом эле- 
менте таблицы kqfviw 12 32-битных полей. В IDA легко создать структуру из 
12-и элементов и применить её ко всем элементам таблицы. Для версии Oracle 
RDBMS 11.2, здесь 1023 элемента в таблице, то есть, здесь описываются 1023 
всех возможных fixed view. Позже, мы еще вернемся к этому числу. 


Как видно, мы не очень много можем узнать чисел в этих полях. Самое первое 
поле всегда равно длине строки-названия view (без терминирующего ноля). 


Это справедливо для всех элементов. Но эта информация не очень полезна. 


Мы также знаем, что информацию обо всех fixed views можно получить из fixed 
view под названием V$FIXED VIEW DEFINITION (кстати, информация для этого 
view также берется из таблиц Ка?уім и КаР\1р). Между прочим, там тоже 1023 
элемента. Совпадение? Нет. 


SQL> select ж from \У$ЕТХЕО МІЕМ ОЕРТМТТТОМ where view_name='V$VERSION'; 


VIEW_NAME 


V$VERSION 
select BANNER from GV$VERSION where inst_id = USERENV('Instance') 


Итак, V$VERSION это как бы thunk view для другого, с названием GV$VERSION, 
который, в свою очередь: 


SQL> select ж from У$ЕТХЕО УТЕм ОЕРТМТТТОМ where view_name='GV$VERSION'; 


VIEW_NAME 


GV$VERSION 
select inst_id, banner from x$version 


Таблицы с префиксом X$ B Oracle RDBMS— это также служебные таблицы, они 
не документированы, не могут изменятся пользователем, и обновляются ди- 
намически. 


Попробуем поискать текст 


36Draft ANSI С Standard (ANSI ХЗ] 11/88-090) (Мау 13, 1988) (yurichev.com) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


1128 


select BANNER from GV$VERSION where іпѕї іа = 
USERENV ( ' Instance ') 


... В файле kqf.o и находим ссылку на него в таблице kqfvip: 


Листинг 8.11: kqf.o 


.года+а:080185А0 kqfvip dd offset 2 STRING 11126 0 ; DATA XREF: kqfgvcn+18 
. rodata :080185A0 ; kqafgvt+F 
. rodata :080185A0 ; 

"select inst id,decode(indx,1,'data bloc"... 


. rodata :080185A4 dd offset kqfv459 c 0 

. rodata :080185A8 dd 0 

. rodata :080185AC dd 0 

. rodata :08019570 dd offset 2 STRING 11378 0; 
"select BANNER from GV$VERSION where in"... 

. годаїа :08019574 dd offset Ка?у133 с 0 

. rodata :08019578 dd 0 

. rodata :0801957C dd 0 

. rodata :08019580 dd offset 2 STRING 11379 0; 
"select inst_id,decode(bitand(cfflg,1), 0"... 

. rodata :08019584 dd offset kqfv403_ с 0 

. rodata :08019588 dd 0 

. годата:0801958С dd 0 

. rodata :08019590 dd offset 2 STRING 11380 0 ; 
"select STATUS , NAME, IS RECOVERY DEST"... 

. rodata :08019594 dd offset kqfv199 c 0 


Таблица, по всей видимости, имеет 4 поля в каждом элементе. Кстати, здесь 
так же 1023 элемента, уже знакомое нам число. 


Второе поле указывает на другую таблицу, содержащую поля этого fixed view. 


Для V$VERSION, эта таблица только из двух элементов, первый это 6 и второй 
это строка ВАММЕК (число 6 это длина строки) и далее терминирующий элемент 
содержащий 0 и нулевую Си-строку: 


Листинг 8.12: kqf.o 


.годата:080ВВАС4 Ка?у133 с 0 аа 6 ; РАТА XREF: . годаїа: 08019574 
. rodata : 080BBAC8 dd offset 2 _ STRING 5017 Ө ; "BANNER" 
. rodata : О80ВВАСС dd 0 

. rodata : 080BBADO dd offset 2 __ STRING 00 


Объединив данные из таблиц kqafviw и kqfvip, мы получим 501-запросы, KOTO- 
рые исполняются, когда пользователь хочет получить информацию из какого- 
либо fixed view. 


Напишем программу oracle tables?”, которая собирает всю эту информацию из 
объектных файлов от Oracle RDBMS под Linux. 


37yurichev.com 
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Для V$VERSION, мы можем найти следующее: 


Листинг 8.13: Результат работы oracle tables 


kqfviw_element.viewname: [V$VERSION] ?: 0x3 0x43 0х1 Oxffffc085 0х4 

kqfvip_element.statement: [select BANNER from GV$VERSION where inst_id = 2 
S USERENV('Instance')] 

kqfvip_element. params: 

[BANNER] 


И: 


Листинг 8.14: Результат работы oracle tables 


kqfviw_element.viewname: [GV$VERSION] ?: 0x3 0x26 0х2 Oxffffc192 0х1 
kqfvip_element.statement: [select inst_id, banner from x$version] 
kqfvip_element. params: 

[INST_ID] [BANNER] 


Fixed view GV$VERSION отличается от V$VERSION тем, что содержит еще и поле 
отражающее идентификатор instance. 


Но так или иначе, мы теперь упираемся в таблицу X$VERSION. Как и прочие 
Х$-таблицы, она не документирована, однако, мы можем оттуда что-то прочи- 
тать: 


SQL> select ж from хфуегѕіоп; 


ADDR INDX INST_ID 
BANNER 
ODBAF574 0 1 


Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 – Production 


Эта таблица содержит дополнительные поля вроде ADDR n INDX. 


Berno листая содержимое файла Каї.о в РА мы можем увидеть еще одну таб- 
лицу где есть ссылка на строку X$VERSION, это kqftab: 


Листинг 8.15: kqf.o 


‚гойата:0803САСО аа 9 ; element number 090х116 
. rodata :0803CAC4 dd offset 2 STRING 13113 0 ; "X$VERSION" 

. rodata :0803CAC8 dd 4 

. rodata :0803CACC dd offset 2 STRING 13114 0 ; "каут" 

. rodata :0803CADO dd 4 

. rodata :0803CAD4 dd 4 

. rodata :0803CAD8 dd 0 

. rodata :0803CADC dd 4 

. rodata :0803CAEQ dd OCh 

. rodata :0803CAE4 dd ОЕЕЕЕСО75һ 
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. годата:0803САЕЗ dd з 

. rodata : 80ЗСАЕС да 0 

. rodata :0803CAF0 dd 7 

. rodata : 0803CAF4 dd offset 2 STRING 13115 0 ; "Х$КОЕ57" 
. rodata :0803CAF8 dd 5 

. rodata :0803CAFC dd offset 2 STRING 13116 0 ; "kqfsz" 
. rodata :0803CB00 dd 1 

. rodata :0803CB04 dd 38h 

. rodata :0803CB08 dd 0 

. rodata :0803CB0C dd 7 

. rodata :0803CB10 dd 0 

. rodata :0803CB14 аа OFFFFCO9Dh 

. rodata :0803CB18 dd 2 

. rodata :0803CB1C dd 0 


Здесь очень много ссылок на названия Х$-таблиц, вероятно, на все те что име- 
ются в Oracle RDBMS этой версии. 


Но мы снова упираемся в то что не имеем достаточно информации. Не ясно, 
что означает строка kqvt. 


Вообще, префикс Ка может означать kernel и query. 
v, может быть, version, а t — type? 
Сказать трудно. 


Таблицу с очень похожим названием мы можем найти в КаТ.о: 


Листинг 8.16: kqf.o 


. rodata:0808C360 Каму с 0 КаРфар рагат <4, offset 2 STRING 19 0, 9171, 0, 2 
S 0,0, 4, Ө, © 


. годаїа :0808С360 ; DATA XREF: 
. годата: 08042680 

. годаїа :0808С360 ; "ADDR" 

. гоаа+а : 0808384 kqftap_param <4, offset 2 STRING 20 0, 0B02h, 2 
ъ 0, 0, 0, 4, 0, 0>; 

. rodata : 0808C3A8 kqftap_param <7, offset 2 STRING 21 0, 0B02h, / 
ъ 0, 0, 0, 4, 0, 0>; 
"ІМЅТ Ір" 

. rodata :0808C3CC kqftap_param <6, offset 2 STRING 5017 0, 6018, „/ 
S0, 0, Ө, 50h, Ө, © ; 
"BANNER" 

. rodata :0808C3F0 kqftap_param <0, offset 2 STRING 0 0, 0, 0, 0, Z? 
0, 0, 0, © 


Она содержит информацию об именах полей в таблице X$VERSION. Единствен- 
ная ссылка на эту таблицу имеется в таблице kqftap: 


Листинг 8.17: kqf.o 


. годаха:08042680 каТар е1етепї <0, offset Камф с 0, offsetz 
> Камгом, 0> ; element Өх1#6 
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Интересно что здесь этот элемент проходит так же под номером 0х1#6 (502-й), 
как и ссылка на строку Х$\/ЕВЗТОМ в таблице kqftab. 


Вероятно, таблицы kqftap и kqftab дополняют друг друга, как и kqfvip и 
kqfviw. 


Мы также видим здесь ссылку на функцию с названием kqvrow(). А вот это 
уже кое-что! 


Сделаем так чтобы наша программа oracle {а ез38 могла дампить и эти табли- 
цы. Для X$VERSION получается: 


Листинг 8.18: Результат работы oracle tables 


каТар е1етепї. пате: [X$VERSION] ?: [Кау] 0х4 0х4 0х4 0хс Oxffffc075 0x3 
kqftap_param.name=[ADDR] ?: 0x917 0х0 0х0 0х0 0х4 0х0 0x0 
kqftap_param.name=[INDX] ?: 0х602 0х0 0х0 0х0 0х4 0х0 0x0 
kqftap_param.name=[INST_ID] 7: 0х002 0х0 0х0 0х0 0х4 0х0 0x0 
Ка{Тар_рагат.пате=[ВАММЕВ] ?: 0x601 0х0 0х0 0х0 0x50 0х0 0x0 

каТар е1етепї. Тп1=Камгом 

kqftap_element.fn2=NULL 


При помощи tracer, можно легко проверить, что эта функция вызывается 6 раз 
кряду (из функции qerfxFetch()) при получении строк из ХФМЕВЅІОМ. 


Запустим їгасег в режиме сс (он добавит комментарий к каждой исполненной 
инструкции): 


tracer -а:огас1е.ехе бр#=огас1е.ехе! Каугом, + гасе : сс 


_Каугом proc near 


маг 7C = byte ptr -7Ch 
var_18 = dword ptr -18h 
var_14 = dword ptr -14h 
Dest = dword ptr -10h 
var C = мога ptr —0Сһ 
var 8 = dword ptr -8 

var 4 = dword ptr -4 

arg_8 = dword ptr 10h 
аго С = мога ptr 14h 
arg_14 = dword ptr 1Сһ 
arg_18 = dword ptr 20h 


; FUNCTION CHUNK AT .text1:056C11A0 SIZE 00000049 BYTES 


push ebp 

mov ebp, esp 

sub esp, 7Ch 

mov eax, [ebp+arg_14] ; [EBP+1Ch]=1 

mov ecx, TlsIndex ; [69AEBO8h]=0 

mov edx, large fs:2Ch 

mov edx, [edx+ecx*4] ; [EDX+ECX*4]=0xc98c938 
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стр еах, 2 ; ЕАХ=1 

mov eax, [ebp+arg_8] ; [EBP+10h]=0xcdfe554 
jz loc_2CE1288 

mov ecx, [eax] ; [EAX]=0..5 

mov [ебр+уаг_4], edi ; EDI=0xc98c938 


loc_2CE10F6: ; CODE XREF: _kqvrow +10A 
; _kqvrow +1А9 


стр есх, 5 ; ЕСХ=0..5 
ја 10с 56С11С7 
mov edi, [ebp+arg_18] ; [EBP+20h]=0 
mov [ebp+var_14], edx ; EDX=0xc98c938 
mov [ebp+var_8], ерх ; EBX=0 
mov ebx, eax ; EAX=0xcdfe554 
mov [ebp+var_C], esi ; ESI=0xcdfe248 
loc 2СЕ1100: ; CODE XREF: _kqvrow +29E00E6 
mov edx, ds:off_628B09C[ecx*4] ; [ECX*4+628B09Ch]=0x2ce1116, 
0х2се11ас, 0x2celldb, 0x2ce11f6, 0x2ce1236, 0х2се127а 
jmp edx ; EDX=0x2ce1116, 0х2се11ас, 0x2celldb, 


0x2ce11f6, 0x2ce1236, 0x2ce127a 


loc_2CE1116: ; DATA XREF: .rdata:off_628B09C 
push offset aXKqvvsnBuffer ; "x$kqvvsn buffer" 


mov ecx, [ebp+arg_C] ; [EBP+14h]=0x8a172b4 

xor edx, edx 

mov esi, [ebp+var_14] ; [EBP-14h]=0xc98c938 

push edx ; EDX=0 

push edx ; EDX=0 

push 50h 

push ecx ; ECX=0x8a172b4 

push dword ptr [esi+10494h] ; [ESI+10494h]=0xc98cd58 

call _kghalf ; tracing nested maximum level (1) reached, 
skipping this CALL 

mov esi, ds:__imp__vsnnum ; [59771А8һ |=0х610с49е0 

mov [ebp+Dest], eax ; EAX=0xce2ffb0 

mov [ebx+8], eax ; EAX=0xce2ffb0 

mov [ebx+4], eax ; EAX=0xce2ffb0 

mov edi, [esi] ; [ESI]=0xb200100 

mov esi, 05: ітр м=п51г ; [597D6D4h]=0x65852148, "- 
Production" 

push esi ; ESI=0x65852148, "- Production" 

mov ebx, edi ; EDI=0xb200100 

shr ebx, 18h ; EBX=0xb200100 

mov ecx, edi ; EDI=0xb200100 

shr ecx, 14h ; ECX=0xb200100 

and ecx, OFh ; ECX=0xb2 

mov edx, edi ; EDI=0xb200100 

shr edx, OCh ; EDX=0xb200100 

movzx edx, dl ; DL=0 

mov eax, edi ; EDI=0xb200100 

shr eax, 8 ; EAX=0xb200100 

and eax, OFh ; EAX=0xb2001 

and edi, OFFh ; EDI=0xb200100 
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push edi ; EDI=0 
mov edi, [ebp+arg_18] ; [EBP+20h]=0 
push eax ; EAX=1 
mov eax, ds:__imp_vsnban ; 
[597D6D8h]=0x65852100, "Oracle Database 11g Enterprise Edition Release %d.%d.%d.%d.%d %5" 
push edx ; EDX=0 
push ecx ‚ ECX=2 
push ebx ; EBX=0xb 
mov ebx, [ebp+arg_8] ; [EBP+10h]=0xcdfe554 
push eax Р 
ЕАХ=0х65852100, "Oracle Database 119 Enterprise Edition Release %d.%d.%d.%d.%d %5" 
mov eax, [ebp+Dest] ; [EBP-10h]=0xce2ffb0 
push eax ; EAX=0xce2ffb0 


call ds: ітр sprintf ; op1=MSVCR80.dll!sprintf tracing nested 
maximum level (1) reached, skipping this CALL 

add esp, 38h 

mov dword ptr [ebx], 1 


loc_2CE1192: ; CODE XREF: _kqvrow_+FB 
; _kqvrow +128 ... 


test edi, edi ; EDI=0 

jnz _ VInfreq_ kqvrow 

mov esi, [ebp+var_C] ; [EBP-0OCh]=0xcdfe248 

mov edi, [ebp+var_4] ; [EBP-4]=0xc98c938 

mov eax, ebx ; EBX=0xcdfe554 

mov ebx, [ебр+уаг_8] ; [EBP-8]=0 

lea eax, [eax+4] ; [EAX+4]=0xce2ffb0, "“NLSRTL Version 


11.2.0.1.0 - Production", "Oracle Database 11g Enterprise Edition Release 
11.2.0.1.0 - Production", “PL/SQL Release 11.2.0.1.0 - Production", “TNS 
for 32-bit Windows: Version 11.2.0.1.0 - Production" 


loc_2CE11A8: ; CODE XREF: _Каугом +29E00F6 


mov esp, ebp 

pop ebp 

retn ; EAX=0xcdfe558 

loc 2СЕ11АС: ; DATA XREF: .rdata:0628B0A0 

mov edx, [ebx+8] ; [EBX+8]=0xce2ffb0, "Oracle Database 11g 
Enterprise Edition Release 11.2.0.1.0 - Production" 

mov dword ptr [ebx], 2 

mov [ebx+4], edx ; EDX=0xce2ffb0, "Oracle Database 11g 
Enterprise Edition Release 11.2.0.1.0 - Production" 

push edx ; EDX=0xce2ffb0, "Oracle Database 11g 
Enterprise Edition Release 11.2.0.1.0 - Production" 

call _kkxvsn ; tracing nested maximum level (1) reached, 
skipping this CALL 

pop ecx 

mov edx, [ebx+4] ; [EBX+4]=0xce2ffb0, "PL/SQL Release 


11.2.0.1.0 - Production" 
тоу2х ecx, byte ріг [edx] ; [EDX]=0x50 


test ecx, ecx ; ECX=0x50 
jnz short loc_2CE1192 

mov edx, [ebp+var_14] 

mov esi, [ebp+var C] 

mov eax, ebx 

mov ebx, [ebp+var 8] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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mov ecx, [eax] 
jmp loc_2CE10F6 
loc 2СЕ110В: ; DATA XREF: .rdata:0628B0A4 
push 0 
push 50h 
mov edx, [ebx+8] ; [EBX+8]=0xce2ffb0, "PL/SQL Release 
11.2.0. т ‚д - Production" 
[ebx+4], edx ; EDX=0xce2ffb0, "PL/SQL Release 11.2.0.1.0 
ы produci oi 
push edx ; EDX=0xce2ffb0, "PL/SQL Release 11.2.0.1.0 
- Production" 
call 1тхуег ; tracing nested maximum level (1) reached, 
skipping this CALL 
add esp, OCh 
mov dword ptr [ebx], 3 
jmp short loc_2CE1192 
loc_2CE11F6: ; DATA XREF: .rdata:0628B0A8 
mov edx, [ebx+8] ; [EBX+8]=0xce2ffb0 
mov [ebp+var_18], 50h 
mov [ebx+4], edx ; EDX=0xce2ffb0 
push 0 
call _npinli ; tracing nested maximum level (1) reached, 
skipping this CALL 
pop ecx 
test eax, eax ; ЕАХ=0 
jnz loc_56C11DA 
mov ecx, [ebp+var_14] ; [EBP-14h]=0xc98c938 
lea edx, [ebp+var_ 1R] ; [EBP-18h]=0x50 
push edx EDX=0xd76c93c 


push dword ptr [ebx+8] ; [EBX+8]=0xce2ffb0 
push dword ptr [ecx+13278h] ; [ECX+13278h]=0xacce190 


call nrtnsvrs ; tracing nested maximum level (1) reached, 

skipping this CALL 
add esp, OCh 
loc 2СЕ122В: ; CODE XREF: _kqvrow +29Е0118 
mov dword ptr [ebx], 4 
jmp loc_2CE1192 
loc_2CE1236: ; DATA XREF: .rdata:0628B0AC 

lea edx, [ebp+var_7C] ; [EBP-7Ch]= 

push edx ; EDX=0xd76c8d8 

push 0 

тоу esi, [ерх+8] ; [EBX+8]=0xce2ffb0, "TNS for 32-bit 
Windows: Version 11.2.0.1.0 - Production" | 

mov [ebx+4], esi ; ESI=0xce2ffb0, "TNS for 32-bit Windows: 
Version 11.2.0.1.0 - Production" 

mov ecx, 

mov [ebp+var_18], ecx ; ECX=0x50 

push ecx ; ECX=0x50 

push esi ; ESI=0xce2ffb0, "TNS for 32-bit Windows: 
Version 11.2.0.1.0 - Production" | | 

call 1хмегѕ ; tracing nested maximum level (1) reached, 


ее this CALL 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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ааа esp, 10h 
mov edx, [ebp+var_18] ; [EBP-18h]=0x50 
mov dword ptr [ebx], 5 
test edx, edx ; EDX=0x50 
jnz loc_2CE1192 
mov edx, [ebp+var_14] 
mov esi, [ebp+var C] 
mov eax, ebx 
mov ebx, [ebp+var 8] 
mov ecx, 5 
jmp loc_2CE10F6 
loc 2СЕ127А: ; DATA XREF: .rdata:0628B0B0 
mov edx, [ebp+var_14] ; [EBP-14h]=0xc98c938 
mov esi, [ерр+маг С] ; [ЕВР-ӨСһ]=0хсағе248 
mov edi, [ebp+var_4] ; [EBP-4]=0xc98c938 
mov eax, ebx ; EBX=0xcdfe554 
mov ebx, [ebp+var_8] ; [EBP-8]=0 
loc 2СЕ1288: ; CODE XREF: _kqvrow +1F 
mov eax, [eax+8] ; [EAX+8]=0xce2ffb0, "NLSRTL Version 
11.2.0.1.0 - Production" 
test eax, eax ; EAX=0xce2ffb0, "МЕЗВТЕ Version 11.2.0.1.0 
- Production" 
jz short 1ос_2СЕ12А7 
push offset aXKqvvsnBuffer ; "x$kqvvsn buffer" 
push eax ; EAX=0xce2ffb0, "МЕЗВТЕ Version 11.2.0.1.0 
- Production" 
mov eax, [ebp+arg_C] ; [EBP+14h]=0x8a172b4 
push eax ; EAX=0x8a172b4 
push dword ptr [edx+10494h] ; [EDX+10494h]=0xc98cd58 
call _kghfrf ; tracing nested maximum level (1) reached, 
skipping this CALL 
add esp, 10h 
loc 2СЕ12А7: ; CODE XREF: _kqvrow +1C1 
xor eax, eax 
mov esp, ebp 
pop ebp 
retn ; EAX=0 


_kqvrow_ endp 


Так можно легко увидеть, что номер строки таблицы задается извне. Сама 
функция возвращает строку, формируя её так: 


Строка 1 | Использует глобальные переменные vsnstr, vsnnum, vsnban 
Вызывает ѕргіпі? (). 

Строка 2 | Вызывает kkxvsn(). 

Строка 3 | Вызывает 1тхуег(). 

Строка 4 | Вызывает пріп11(), пгЕпѕугѕ(). 

Строка 5 | Вызывает lxvers(). 


Так вызываются соответствующие функции для определения номеров версий 
отдельных модулей. 
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8.11.2. Таблица Х$КЅМІКО в Oracle RDBMS 


В заметке Diagnosing апа Resolving Error ОВА-04031 оп the Shared Pool ог Other 
Memory Pools [Video] [ID 146599.1] упоминается некая служебная таблица: 


There is a fixed table called X$KSMLRU that tracks allocations in 
the shared pool that cause other objects in the shared pool to be aged 
out. This fixed table can be used to identify what is causing the large 
allocation. 

If many objects are being periodically flushed from the shared pool 
then this will cause response time problems and will likely cause library 
cache latch contention problems when the objects are reloaded into 
the shared pool. 

One unusual thing about the X$KSMLRU fixed table is that the 
contents of the fixed table are erased whenever someone selects 
from the fixed table. This is done since the fixed table stores only 
the largest allocations that have occurred. The values are reset after 
being selected so that subsequent large allocations can be noted even 


if they were not quite as large as others that occurred previously. 


Because of this resetting, the output of selecting from this table should 
be carefully kept since it cannot be retrieved back after the query is 
issued. 


Однако, как 


можно легко убедиться, эта системная таблица очищается вся- 


кий раз, когда кто-то делает запрос к ней. Сможем ли мы найти причину, по- 
чему это происходит? Если вернуться к уже рассмотренным таблицам kqftab 


и КаРфар полученных при помощи oracle tables?’ 


‚ содержащим информацию о 


Х$-таблицах, мы узнаем что для того чтобы подготовить строки этой таблицы, 
вызывается функция Кѕт1 г (): 


Листинг 8.19: Результат работы oracle tables 


kqftab_element. папе: 
kqftap_param. 
kqftap_param. 
kqftap_param. 
kqftap_param. 
kqftap_param. 
kqftap_param. 
kqftap_param. 
kqftap_param. 
kqftap_param. 
kqftap_param. 
kqftap_param. 
kqftap_param. 
kqftap_param. 
kqftap_param. 
kqftap_param. 
kqftap_param. 
kqftap_param. 


[X$KSMLRU] ?: [ksmlr] 0x4 0x64 0x11 0хс OxffffcObb 0x5 
0x917 0x0 0x0 0x0 0x4 0x0 0x0 

0xb02 0х0 0х0 0x0 0x4 0x0 0x0 

0xb02 0x0 0x0 0x0 0x4 0x0 0x0 
name=[KSMLRIDX] ?: 0х002 0х0 0x0 0x0 0х4 0x0 0х0 
name=[KSMLRDUR] ?: 0xb02 0х0 0x0 0х0 0х4 0x4 0x0 
name= [KSMLRSHRPOOL 1 ?: 0xb02 0x0 0x0 0х0 0x4 0x8 0x0 
name=[KSMLRCOM] ?: 0x501 0x0 0x0 0x0 0x14 Oxc 0x0 
name=[KSMLRSIZ] ?: 0x2 0х0 0x0 0x0 0x4 0x20 0x0 
name=[KSMLRNUM] ?: 0x2 0х0 0x0 0x0 0x4 0x24 0x0 
name=[KSMLRHON] ?: 0x501 0х0 0х0 0x0 0x20 0x28 0х0 
name=[KSMLROHV] ?: 0xb02 0x0 0x0 0x0 0x4 0x48 0x0 
name=[KSMLRSES] ?: 0x17 0x0 0x0 0х0 0x4 Ох4с 0х0 
name=[KSMLRADU] ?: 0x2 0x0 0x0 0x0 0x4 0x50 0x0 
name=[KSMLRNID] ?: 0x2 0х0 0x0 0x0 0x4 0x54 0x0 
name=[KSMLRNSD] ?: 0х2 0х0 0х0 0х0 0x4 0x58 0x0 
name=[KSMLRNCD] ?: 0х2 0х0 0x0 0х0 0x4 0х5с 0x0 
name=[KSMLRNED] ?: 0х2 0х0 0x0 0х0 0x4 0x60 0x0 


name=[ADDR] ?: 
name=[INDX] ?: 
name=[INST_ID] ?: 


> N NNN 0 М0 0 +0 +2 


39уцгісһеу.сот 
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каТар е1етепї. #п1=Кѕті г< 
kqftap_element.fn2=NULL 


Действительно, при помощи tracer легко убедиться, что эта функция вызыва- 
ется каждый раз, когда мы обращаемся к таблице X$KSMLRU. 


Здесь есть ссылки на функции ksmsplu _sp() и ksmsplu_jp(), каждая из KOTO- 
рых в итоге вызывает ksmsplu(). В конце функции ksmsplu() мы видим вызов 
memset (): 


Листинг 8.20: Кѕт.о 


.text:00434C50 loc 434С50: ; DATA XREF: .rdata:off_5E50EA8 
. text: 00434C50 mov edx, [ebp-4] 

. text : 00434C53 mov [eax], esi 

. text: 00434C55 mov esi, [edi] 

. text: 00434C57 mov [eax+4], esi 

. text: 00434С5А mov [edi], eax 

. text : 00434С5С add edx, 1 

. text : 00434С5Е mov [ebp-4], edx 

. text :00434C62 jnz loc_434B7D 

. text : 00434C68 mov ecx, [ebp+14h] 

. text :00434C6B mov ebx, [ebp-10h] 

. text : 00434С6Е mov esi, [ebp-0Ch] 

. text: 00434C71 mov edi, [ebp-8] 

. text : 00434C74 lea eax, [ecx+8Ch] 

. text : 00434С7А push 370h ; Size 
. text :00434C7F push 0 ; Val 
. text :00434C81 push eax ; Dst 
. text : 00434C82 call _ intel_fast_memset 

. text : 00434C87 add esp, OCh 

. text : 00434С8А mov esp, ebp 

. text : 00434C8C pop ebp 

. text: 00434C8D retn 


.text:00434C8D ksmsplu епар 


Такие конструкции (memset (block, 0, ѕіхе)) очень часто используются для 
простого обнуления блока памяти. Мы можем попробовать рискнуть, заблоки- 
ровав вызов memset () и посмотреть, что будет? 


Запускаем tracer со следующей опцией: поставить точку останова на 0х434С7А 
(там, где начинается передача параметров для функции memset ()) так, чтобы 
tracer B этом месте установил указатель инструкций процессора (EIP) на место, 
где уже произошла очистка переданных параметров в тетзе{() (по адресу 
0х434С8А): 


Можно сказать, при помощи этого, мы симулируем безусловный переход с ад- 
реса 0х434С7А на 0х434С8А. 


tracer -а:огас1е. ехе ррх=огас1е. ехе! 0х00434С7А, ѕеї (еір, 0х00434С8А) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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(Важно: все эти адреса справедливы только для міп32-версии Oracle RDBMS 
11.2) 


Действительно, после этого мы можем обращаться к таблице X$KSMLRU сколь- 
ко угодно, и она уже не очищается! 


На всякий случай, не повторяйте этого на своих ргодисНоп-серверах. 


Впрочем, это не обязательно полезное или желаемое поведение системы, но 
как эксперимент по поиску нужного кода, нам это подошло! 


8.11.3. Таблица \У$ТТМЕК в Oracle RDBMS 


\У$ТТМЕК это еще один служебный fixed view, отражающий какое-то часто Me- 
няющееся значение: 


V$TIMER displays the elapsed time іп hundredths of a second. Time 
is measured since the beginning of the epoch, which is operating 
system specific, and wraps around to 0 again whenever the value 
overflows four bytes (roughly 497 days). 


(Из документации Oracle АОВМ5*0) 


Интересно что периоды разные B Oracle для Win32 и для Linux. Сможем ли мы 
найти функцию, отвечающую за генерирование этого значения? 


Как видно, эта информация, в итоге, берется из системной таблицы X$KSUTM. 


SQL> select ж from V$FIXED_VIEW DEFINITION where у1ем пате=' \/$ТТМЕВ '; 


VIEW_NAME 


V$TIMER 
select HSECS from GV$TIMER where inst_id = USERENV('Instance') 


SQL> select ж from МФҒІХЕЮ МІЕМ DEFINITION where view_name='GV$TIMER'; 


VIEW_NAME 


GV$TIMER 
select inst_id,ksutmtim from x$ksutm 


Здесь мы упираемся в небольшую проблему, в таблицах kqftab/kqftap нет ука- 
зателей на функцию, которая бы генерировала значение: 


4 Пр: //досѕ.огас1е. сот/с9/В28359 01/5егуег. 111/628320/Чуп\у1ем$_3104. Пт 
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Листинг 8.21: Результат работы oracle tables 


kqftab_element.name: [Х$КЅ0ТМ] ?: [ksutm] 0х1 0х4 0х4 0х0 Oxffffc09b 0x3 
kqftap_param.name=[ADDR] 7: 0х10917 0х0 0х0 0х0 0х4 0х0 0x0 
kqftap_param.name=[INDX] ?: 0х20602 0х0 0х0 0х0 0х4 0х0 0x0 
kqftap_param.name=[INST_ID] 7: 0х002 0х0 0х0 0х0 0х4 0х0 0x0 
kqftap_param.name=[KSUTMTIM] ?: 0х1302 0х0 0х0 0х0 0х4 0х0 0х1е 
kqftap_element.fn1=NULL 

kqftap_element.fn2=NULL 


Попробуем в таком случае просто поискать строку KSUTMTIM, и находим ссылку 
на нее в такой функции: 


kqfd_DRN_ksutm с proc near ; DATA XREF: .rodata:0805B4E8 


arg © = dword ptr 8 
arg 8 = dword ptr 10h 


arg С dword ptr 14h 
push ebp 
mov ebp, esp 


push [ebp+arg_C] 

push offset ksugtm 

push offset 2 STRING 1263 Ө ; "KSUTMTIM" 
push [ebp+arg_8] 

push [ebp+arg_0] 

call kqfd_cfui_drain 


add esp, 14h 
mov esp, ebp 
pop ebp 

retn 


kqfd_DRN_ksutm_c endp 


Сама функция kqafd_DRN_ksutm_c() упоминается в таблице 
ката фаб гедіѕігу 0 вот так: 


dd offset 2 _ STRING 62 0 ; "X$KSUTM" 
dd offset Ката ОРМ К<итїт с 

dd offset kqfd_tabl_fetch 

dd 0 

dd 0 

dd offset kqfd_DRN_ksutm_c 


Упоминается также некая функция ksugtm(). Посмотрим, что там (B Linux x86): 


Листинг 8.22: Кѕи.о 


ksugtm proc near 


var_1C = byte ptr -1Ch 
arg 4 = мога ptr ӨСһ 
push ebp 
mov ebp, esp 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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sub esp, 1Ch 

lea eax, [ebp+var_1C] 
push eax 

call slgcs 

pop ecx 

mov edx, [ebp+arg_4] 
mov [edx], eax 

mov eax, 4 

mov esp, ebp 

pop ebp 

retn 


ksugtm епар 


В win32-Bepcnn тоже самое. 


Искомая ли эта функция? Попробуем узнать: 


tracer -а:огас1е.ехе БрҒ=огас1е.ехе! Кѕидїт,агдѕ:2, Читр_агдз:0х4 


Пробуем несколько раз: 


SQL> select ж from V$TIMER; 
27294929 

SQL> select * from V$TIMER; 
27295006 

SQL> select * from V$TIMER; 


27295167 


Листинг 8.23: вывод tracer 


ТТ0=2428| (0) огас1е.ехе! Кѕидїт (0х0, Өха76с5#0) (called from огас1е.ехе! / 
S _ VInfreq_ qerfxFetch+0xfad (0x56bb6d5)) 

Argument 2/2 

0D76C5F0: 38 C9 "8. 2 
„" 

ТТ0=2428| (0) огас1е.ехе! Кѕидїт () -> 0х4 (0х4) 

Argument 2/2 difference 

00000000: D1 7C AO 01 feles 2 
„" 

ТТ0=2428| (0) огас1е.ехе! Кѕидїт (0х0, Өха76с5#0) (called from огас1е.ехе! р 
S _ VInfreq_ qerfxFetch+0xfad (0x56bb6d5)) 

Argument 2/2 
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0D76C5F0: 38 C9 "8. 2 
k 

TID=2428| (0) oracle.exe!_ksugtm () -> 0x4 (0x4) 

Argument 2/2 difference 

00000000: 1E 7D АӨ 01 А 2 
а 

ТТ0=2428| (0) огас1е.ехе! Кѕидїт (0х0, Өха76с5#0) (called from огас1е.ехе! 7 
S _VInfreq__qerfxFetch+0xfad (9х5666645)) 

Argument 2/2 

0D76C5F0: 38 C9 "8. 4 

ТТ0=2428| (0) огас1е.ехе! Кѕидїт () -> 0х4 (0х4) 

Argument 2/2 difference 

00000000: BF 7D AO 01 tapes 2 
а. 


Действительно — значение то, что мы видим в 501 *РіІиѕ, и оно возвращается 
через второй аргумент. 


Посмотрим, что в функции 519с5() (Linux x86): 


519сѕ ргос пеаг 
маг 4 = dword ptr -4 
arg © = dword ptr 8 
push ebp 
mov ebp, esp 
push esi 
mov [ebp+var_4], ebx 
mov eax, [ebp+arg_0] 
call $+5 
pop ebx 
nop ; PIC mode 
mov ebx, offset СОВА OFFSET TABLE 
mov dword ptr [eax], 0 
call sltrgatime64 ; PIC mode 
push 0 
push OAh 
push edx 
push eax 
call _ udivdi3 ; PIC mode 
mov ebx, [ebp+var_4] 
add esp, 10h 
mov esp, ebp 
pop ebp 
retn 
slgcs епар 


(это просто вызов sltrgatime64() и деление его результата Ha 10 (3.10 (стр. 628))) 


Ивмт32-версии: 


| 5195 ргос пеаг ; CODE XREF: dbgefgHtElResetCount+15 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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; _dbgerRunActions+1528 


db 66h 
nop 
push ebp 
mov ebp, esp 
mov eax, [ebp+8] 
mov dword ptr [eax], 0 
call ds: _ imp СеїТ1сКСоип1@0 ; GetTickCount() 
mov edx, eax 
mov eax, OCCCCCCCDh 
mul edx 
shr edx, 3 
mov eax, edx 
mov esp, ebp 
pop ebp 
retn 
_519сѕ епар 


Это просто результат беїТіскСоџпї () 41 поделенный на 10 (3.10 (стр. 628)). 


Вуаля! Вот почему в міп32-версии и версии Linux х86 разные результаты, NOTO- 
му что они получаются разными системными функциями ОС. 


Drain по-английски дренаж, отток, водосток. Таким образом, возможно имеет- 
ся ввиду подключение определенного столбца системной таблице к функции. 


Добавим поддержку таблицы Кка?а ар гедіѕїгу 0 в oracle {а е5“2, теперь мы 
можем видеть, при помощи каких функций, столбцы в системных таблицах 
подключаются к значениям, например: 


[Х$КЅ0ТМ] [каға ОРМ Кѕит с] [каға Тарі Ғеїсһ] [NULL] [NULL] [2 
S каға ОВМ Кѕиїт с] 

[X$KSUSGIF] [каға ОРМ Кѕиѕ9 с] [kqfd_tabl_fetch] [NULL] [NULL] [2 
S Ката ОВМ Кѕиѕ9 с] 


ОРМ, возможно, open, а DRN, вероятно, означает агат. 


8.12. Вручную написанный на ассемблере код 


8.12.1. Тестовый файл EICAR 


Этот .СОМ-файл предназначен для тестирования антивирусов, его можно запу- 
стить в MS-DOS и он выведет такую строку: «ЕІСАВ-ЅТАМОАЋКЮО-АМТІМІКОЅ-ТЕЅТ- 
FILE! ». 


OH примечателен тем, что он полностью состоит только из печатных ASCII- 
символов, следовательно, его можно набрать в любом текстовом редакторе: 


X50 ! Р%@АР [4\Р7Х54 (Р^) 7СС) 7} $ЕТСАВ-5ТАМВАВО-АМТТУТВУ$-ТЕ$Т-ЕТЬЕ ! $Н+Нж 


41М5рМ 
42уцгісһем.сот 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Попробуем его разобрать: 


; изначальное состояние: SP=0FFFEh, 55: [$Р]=0 


0100 58 рор ах 

; АХ=0, 5Р=0 

0101 35 4F 21 хог ах, 214Еһ 

; АХ = 214Fh апа SP = 0 

0104 50 push ax 

; AX = 214Fh, SP = FFFEh and SS:[FFFE] = 214Fh 

0105 25 40 41 and ax, 4140h 

; AX = 140h, SP = FFFEh and SS:[FFFE] = 214Fh 

0108 50 push ax 

; AX = 140h, SP = FFFCh, SS:[FFFC] = 140h and SS:[FFFE] = 214Fh 
0109 5B pop bx 

; AX = 140h, BX = 140h, SP = FFFEh and SS:[FFFE] = 214Fh 
010A 34 5C xor al, 5Ch 

; AX = 11Ch, BX = 140h, SP = FFFEh and SS:[FFFE] = 214Fh 
010C 50 push ax 

010D 5A pop dx 

; AX = 11Ch, BX = 140h, DX = 11Ch, SP = FFFEh and SS:[FFFE] = 214Fh 
010E 58 pop ax 

; АХ = 214Fh, ВХ = 140h, DX = 11Ch and SP = 0 

010F 35 34 28 xor ax, 2834h 

; АХ = 97Bh, BX = 140h, DX = 11Ch and SP = 0 

0112 50 push ax 

0113 5E pop si 

; АХ = 97Bh, BX = 140h, DX = 11Ch, SI = 97Bh and SP = 0 
0114 29 37 sub [bx], si 

0116 43 inc bx 

0117 43 inc bx 

0118 29 37 sub [bx], si 

011А 7D 24 jge short near ptr word_10140 


db 'EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$' 


0140 48 2B мога 10140 dw 2B48h ; CD 21 (INT 21) будет здесь 


0142 48 2A dw 2A48h ; CD 20 (INT 20) будет здесь 
0144 00 db 008 
0145 ОА db ӨАҺ 


Добавим везде комментарии, показывающие состояние регистров и стека по- 


сле каждой инструкции. 


Собственно, все эти инструкции нужны только для того чтобы исполнить сле- 


дующий код: 


В4 09 MOV АН, 9 

ВА 1С 01 MOV ОХ, 11Ch 
Ср 21 ІМТ 21h 

Ср 20 ІМТ 20h 


INT 21h с функцией 9 (переданной в АН) просто выводит строку, адрес которой 
передан в 05:0Х. Кстати, строка должна быть завершена символом '$'. Надо 
полагать, это наследие CP/M и эта функция в DOS осталась для совместимости. 


ІМТ 20h возвращает управление в DOS. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


1144 


Но, как видно, далеко не все опкоды этих инструкций печатные. Так что основ- 
ная часть Е!САВ-файла это: 


• подготовка нужных значений регистров (АН и ОХ); 
• подготовка в памяти опкодов для INT 21 и INT 20; 
• исполнение INT 21 и INT 20. 


Кстати, подобная техника широко используется для создания шелл-кодов, где 
нужно создать х86-код, который будет нужно передать в виде текстовой стро- 
ки. 


Здесь также список всех х86-инструкций с печатаемыми опкодами: .1.6 (стр. 1301). 


8.13. Демо 


Демо (или демомейкинг) были великолепным упражнением в математике, про- 
граммировании компьютерной графики и очень плотному программированию 
на ассемблере вручную. 


8.13.1. 10 РАМТ СНВ$(205.5+ВМО(1)); : СОТО 10 


Все примеры здесь для .СОМ-файлов под MS-DOS. 


В [Nick Montfort et al, 10 РАМТ СНВ$(205.5+ВМО(1)); : СОТО 10, (Тһе МІТ Ргеѕ5:2012)] 
43 можно прочитать об одном из простейших генераторов случайных лабирин- 
тов. Он просто бесконечно и случайно печатает символ слэша или обратный 
слэш, выдавая в итоге что-то вроде: 


43Также доступно здесь: һіїр: //горе- ћапк.тії.ейи/10 PRINT 121114.pdf 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Здесь несколько известных реализаций для 16-битного х86. 


Версия 42-х байт от Trixter 


Листинг взят с его сайта““, но комментарии — автора. 


00000000: B001 mov al,1 ; установить видеорежим 40x25 

00000002: С010 int 010 

00000004: 30FF xor bh, bh ; установить видеостраницу для 
вызова int 10h 

00000006: B9D007 mov cx,007D0 ; вывод 2000 символов 

00000009: 31С0 хог ах,ах 

00000008: 9С pushf ; сохранить флаги 

; узнать случайное число из чипа таймера 

0000000С: РА с11 ; запретить прерывания 

00000000: E643 out 043,al ; записать 0 B порт 43h 

; прочитать 16-битное значение из порта 40h 

0000000Е: E440 їп а1,040 

00000011: 88С4 mov ah,al 

00000013: E440 in al,040 

00000015: 9D popf ; разрешить прерывания 
возвращая значение флага ТЕ 

00000016: 86С4 xchg ah,al 

; здесь мы имеем псевдослучайное 16-битное значение 

00000018: 01ЕЗ shr ax,1 

0000001А: D1E8 shr ax,1 

; B CF сейчас находится второй бит из значения 

0000001С: ВӨ5С mov al,05C ;' 

; если CF=1, пропускаем следующую инструкцию 

0000001Е: 7202 1С 000000022 


44 Неер: //ёгіхіег.о15Коо1.0г9/2012/12/17/тағе- депегаіоп- іп- іһігіееп-буїеѕ/ 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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; если СЕ=0, загружаем в регистр AL другой символ 


00000020: ВО2Е mov al,02F ;'/' 

; вывод символа 

00000022: В40Е mov аһ, 00E 

00000024: CD10 int 010 

00000026: E2E1 loop 000000009 ; цикл в 2000 раз 
00000028: CD20 int 020 ; возврат в DOS 


Псевдослучайное число на самом деле это время, прошедшее со старта систе- 
мы, получаемое из чипа таймера 8253, это значение увеличивается на единицу 
18.2 раза в секунду. 


Записывая ноль в порт 43h, мы имеем ввиду что команда это «выбрать счетчик 
О», ”counter latch”, "двоичный счетчик” (а не значение BCD). 


Прерывания снова разрешаются при помощи инструкции РОРЕ, которая также 
возвращает флаг ТЕ. 


Инструкцию ІМ нельзя использовать с другими регистрами кроме AL, поэтому 
здесь перетасовка. 


Моя попытка укоротить версию Trixter: 27 байт 


Мы можем сказать, что мы используем таймер не для того чтобы получить 
точное время, но псевдослучайное число, так что мы можем не тратить время 
(и код) на запрещение прерываний. Еще можно сказать, что так как мы берем 
бит из младшей 8-битной части, то мы можем считывать только её. 


Немного укоротим код и выходит 27 байт: 


00000000: В90007 тоу сх, 00700 ; вывести только 2000 символов 


00000003: 31С0 xor ax,ax ; команда чипу таймера 
00000005: E643 out 043,al 

00000007: E440 in al,040 ; читать 8 бит из таймера 
00000009: р1Е8 shr ax,1 ; переместить второй бит в флаг СЕ 
00000008: р1Е8 shr ax,1 

0000000D: ВӨ5С mov al,05C ; подготовить '\' 
0000000: 7202 1С 000000013 

00000011: ВО2Е mov al,02F ; подготовить '/' 

; вывести символ на экран 

00000013: В40Е mov аһ, 00E 

00000015: CD10 int 010 

00000017: Е2ЕА loop 000000003 

; выход B DOS 

00000019: CD20 int 020 


Использование случайного мусора в памяти как источника случайных 
чисел 


Так как это MS-DOS, защиты памяти здесь нет вовсе, так что мы можем читать 
с какого угодно адреса. И даже более того: простая инструкция LODSB будет 
читать байт по адресу DS:SI, но это не проблема если правильные значения 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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не установлены в регистры, пусть она читает 1) случайные байты; 2) из слу- 
чайного места в памяти! 


Так что на странице Тижег-а“? можно найти предложение использовать LODSB 
без всякой инициализации. 


Есть также предложение использовать инструкцию 5САЅВ вместо, потому что 
она выставляет флаги в соответствии с прочитанным значением. 


Еще одна идея насчет минимизации кода — это использовать прерывание DOS 
INT 29h которое просто печатает символ на экране из регистра AL. 


Это то что сделал Peter Ferrie 46: 


Листинг 8.24: Peter Ferrie: 10 байт 


; AL в этом месте имеет случайное значение 

00000000: АЕ ѕсаѕр 

; СЕ устанавливается по результату вычитания случайного байта памяти из AL. 
; так что он здесь случаен, в каком-то смысле 


00000001: рб ѕе+а1с 

; AL выставляется в ӨхҒЕ если СЕ=1 или в © если наоборот 
00000002: 242р апа а1,020 ;'-' 

; AL здесь 0х2р либо 0 

00000004: 0422 ааа al,02F ;'/' 

; AL здесь 0х5С либо Өх2Е 

00000006: Ср29 int 029 ; вывести AL на экране 
00000008: ЕВЕб јтрѕ 000000000 ; бесконечный цикл 


Так что можно избавиться и от условных переходов. АЗС!-код обратного слэша 
(«\») это 0х5С и 0х2Е для слэша («/»). 


Так что нам нужно конвертировать один (псевдослучайный) бит из флага СЕ в 
значение 0х5С или 0x2F. 


Это делается легко: применяя операцию «И» ко всем битам в AL (где все 8 бит 
либо выставлены, либо сброшены) с 90х20 мы имеем просто 0 или 09х25. 


Прибавляя значение 0x2F к этому значению, мы получаем 0х5С или 0х2Е. И 
просто выводим это на экран. 


Вывод 


Также стоит отметить, что результат может быть разным в эмуляторе DOSBox, 
Windows МТ и даже MS-DOS, из-за разных условий: чип таймера может эмули- 
роваться по-разному, изначальные значения регистров также могут быть раз- 
ными. 


45http://trixter.oldskool.org/2012/12/17/maze-generation-in-thirteen-bytes/ 
46http://pferrie.host22.com/misc/l0print.htm 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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8.13.2. Множество Мандельброта 


В Mathematical Весре$“”есть некоторые важные замечания о теории вокруг 
множества Мандельброта. 


Вот демо“ написанное автором по имени «Ѕіг Гадѕаіої» в 2009, рисующее MHO- 
жество Мандельброта, и это программа для х86 с размером файла всего 64 
байта. Там только 30 16-битных х86-инструкций. 


Вот что она рисует: 


Попробуем разобраться, как она работает. 


Демо, хотя и крошечная (только 64 байта или 30 инструкций), реализует общий 
алгоритм, изложенный здесь, но с некоторыми трюками. 


Исходный код можно скачать, так что вот он, но также снабдим его своими 
комментариями: 


Листинг 8.25: Исходный код с комментариями 


; Х это столбец на экране 
; У это строка на экране 


; Х=0, Ү=0 Х=319, Ү=0 


47 Неер : //таїћ. recipes 
48Можно скачать здесь, 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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+ 
| 
| 
| 
| 
| 

; | 

\ 

X 


=0, Y=199 X=319, Y=199 


; переключиться в графический видеорежим VGA 320*200*256 

mov al,13h 

int 10h 

; в самом начале ВХ равен 0 

; в самом начале ОТ равен OxFFFE 

; 05:ВХ (или 05:0) указывает на Program Segment Prefix в этот момент 
; ... первые 4 байта которого этого CD 20 ЕЕ Е 

1еѕ ах, [0х] 

; Е5:АХ=9ЕЕЕ: 20Ср 


FillLoop: 

; установить DX в 0. CWD работает так: DX:AX = sign_extend(AX). 

; АХ здесь 0х20С0 (в начале) или меньше 320 (когда вернемся после цикла), 
; так что DX всегда будет 0. 

сма 

mov ах, аі 

; АХ это текущий указатель внутри \/бА-буфера 

; разделить текущий указатель на 320 

тоу сх, 320 

div сх 

; DX (start_X) - остаток (столбец: 0..319); АХ - результат (строка: 0..199) 
sub ах, 190 

; АХ=АХ-100, так что АХ (start_Y) сейчас в пределах -100..99 

; ОХ в пределах 0..319 или 0x0000. .0x013F 

дес аһ 

; ОХ сейчас в пределах 0xFF00..0x003F (-256..63) 


хог bx,bx 
хог 51,51 
; ВХ (temp Х)=0; SI (temp_Y)=0 


; получить максимальное количество итераций 
; СХ всё еще 320 здесь, так что это будет максимальным количеством итераций 


Мапае11 оор: 

том Бр, 51 ; ВР = Тетр У 

imul $1,6х ; SI = їетр Х*Тетр У 

add $1,51 ; SI = 51*2 = (їетр Х*%етр Ү)*2 
imul bx,bx ; ВХ = BX^2 = temp Х^2 

jo MandelBreak ; переполнение? 

imul bp,bp ; BP = BP^2 = temp_Y^2 

jo MandelBreak ; переполнение? 

add bx,bp ; ВХ = ВХ+ВР = temp X^2 + temp Y^2 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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јо Мапае1Вгеак ; переполнение? 

sub 6х, бр ; ВХ = ВХ-ВР = temp Х^2 + temp Ү^2 - temp Ү^2 = temp Х^2 

sub 6х, бр ; ВХ = ВХ-ВР = Тетр_Х^2 - temp_Y^2 

; скорректировать масштаб: 

sar bx,6 ; ВХ=ВХ/64 

ааа бх, ах ; ВХ=ВХ+ѕ+агі Х 

; здесь їетр Х = Тетр Х^2 - емтр Ү^2 + start X 

ѕаг 51,6 ; 51=51/64 

ааа $1, ах ; SI=SI+start_Y 

; здесь їетр У = (temp Х*{етр Ү)*2 + start Y 

loop MandelLoop 

MandelBreak: 

; СХ=итерации 

хсһд ах, сх 

; АХ=итерации. записать AL в \СА-буфер на ES: [DI] 

ѕ1050 

; 5105р также инкрементирует DI, так что ОТ теперь указывает на следующую 
точку в \бА-буфере _ 

; всегда переходим, так что это вечный цикл 

jmp FillLoop 

Алгоритм: 


e Переключаемся в режим VGA 320*200 256 цветов. 320 » 200 = 64000 (0хЕАОО). 
Каждый пиксель кодируется одним байтом, так что размер буфера 0xFA00 
байт. 


Он адресуется здесь при помощи пары регистров ES:DI. 


ES должен быть здесь 0хА000, потому что это сегментный адрес видеобу- 
фера, но запись числа 0хА000 в ES потребует по крайней мере 4 байта 
(PUSH бАОООН / РОР ES). О 16-битной модели памяти в MS-DOS, читайте 
больше тут: 10.7 (стр. 1254). 


Учитывая, что ВХ здесь 0, и Program Segment Prefix находится по нулевому 
адресу, 2-байтная инструкция LES АХ, [ВХ] запишет 0х20С0 в АХ и ОхОЕЕЕ 
в ES. 


Так что программа начнет рисовать на 16 пикселей (или байт) перед ви- 
деобуфером. 


Но это MS-DOS, здесь нет защиты памяти, так что запись происходит в 
самый конец обычной памяти, а там, как правило, ничего важного нет. 


Вот почему вы видите красную полосу шириной 16 пикселей справа. Вся 
картинка сдвинута налево на 16 пикселей. Это цена экономии 2-х байт. 


• Вечный цикл, обрабатывающий каждый пиксель. Наверное, самый общий 
метод обойти все точки на экране это два цикла: один для Х-координаты, 
второй для Ү-координаты. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Но тогда вам придется перемножать координаты для поиска байта в ви- 
деобуфере VGA. Автор этого демо решил сделать наоборот: перебирать 
все байты в видеобуфере при помощи одного цикла вместо двух и затем 
получать координаты текущей точки при помощи деления. 


В итоге координаты такие: X в пределах -256..63 и Y в пределах -100..99. 
Вы можете увидеть на скриншоте что картинка как бы сдвинута в правую 
часть экрана. Это потому что самая большая черная дыра в форме сердца 
обычно появляется на координатах 0,0 и они здесь сдвинуты вправо. 


Мог ли автор просто отнять 160 от X, чтобы получилось значение в преде- 
лах -160..159? Да, но инструкция 50В ОХ, 160 занимает 4 байта, тогда как 
DEC ОН — 2 байта (которая отнимает 0x100 (256) от ОХ). Так что картинка 
сдвинута ценой экономии еще 2-х байт. 


- Проверить, является ли текущая точка внутри множества Мандель- 
брота. Алгоритм такой же, как и описанный здесь. 


- Цикл организуется инструкцией LOOP, которая использует регистр СХ 
как счетчик. Автор мог бы установить число итераций на какое-то 
число, но не сделал этого: потому что 320 уже находится в СХ (бы- 
ло установлено на строке 35), и это итак подходящее число как число 
максимальных итераций. 


Мы здесь экономим немного места, не загружая другое значение в 
регистр СХ. 


- Здесь используется IMUL вместо MUL, потому что мы работаем со зна- 
ковыми значениями: помните, что координаты 0,0 должны быть где- 
то рядом с центром экрана. 


Тоже самое и с SAR (арифметический сдвиг для знаковых значений): 
она используется вместо SHR. 


- Еще одна идея — это упростить проверку пределов. Нам бы пришлось 
проверять пару координат, т.е. две переменных. Что делает автор 
это трижды проверяет на переполнение: две операции возведения в 
квадрат и одно прибавление. Действительно, мы ведь используем 16- 
битные регистры, содержащие знаковые значения в пределах -32768..32767, 
так что если любая из координат больше чем 32767 в процессе умно- 
жения, точка однозначно вышла за пределы, и мы переходим на мет- 
ку Мапае1Вгеак. 


- Здесь также имеется деление на 64 (при помощи инструкции SAR). 64 
задает масштаб. 


Попробуйте увеличить значение и вы получите более увеличенную 
картинку, или уменьшить для меньшей. 


• Мы находимся на метке Мапӣе1Вгеак, есть только две возможности MNO- 
пасть сюда: цикл закончился с СХ=0 (точка внутри множества Мандель- 
брота ); или потому что произошло переполнение (СХ все еще содержит 
какое-то значение). Записываем 8-битную часть СХ (CL) в видеобуфер. Na- 
литра по умолчанию грубая, тем не менее, 0 это черный: поэтому видим 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Еще 


черные дыры в местах где точки внутри множества Мандельброта. 


Палитру можно инициализировать в начале программы, но не забывайте, 
это всего лишь программа на 64 байта! 


Программа работает в вечном цикле, потому что дополнительная провер- 
ка, где остановится, или пользовательский интерфейс, это дополнитель- 
ные инструкции. 


оптимизационные трюки: 


1-байтная CWD используется здесь для обнуления ОХ вместо двухбайтной 
XOR рх, DX или даже трехбайтной MOV DX, 0. 


1-байтная ХСНб АХ, СХ используется вместо двухбайтной MOV АХ, СХ. Te- 
кущее значение в АХ все равно уже не нужно. 


DI (позиция в видеобуфере) не инициализирована, и будет ОхҒҒҒЕ в Haya- 
ле 9. Это нормально, потому что программа работает бесконечно для всех 
DI в пределах 0..ОхЕЕЕЕ, и пользователь не может увидеть, что работала 
началась за экраном (последний пиксель видеобуфера 320*200 имеет ад- 
рес 0xF9FF). 


Так что некоторая часть работы на самом деле происходит за экраном. 
А иначе понадобятся дополнительные инструкции для установки DI в 0; 
добавить проверку на конец буфера. 


Моя «исправленная» версия 


Листинг 8.26: Моя «исправленная» версия 


org 
mov 
int 


, ус 
mov 
mov 
out 
mov 
inc 
100: 
mov 
shl 
out 
out 
out 
loop 


push 
pop 


100h 
al,13h 
10h 
тановить палитру 
dx, 3c8h 
al, 0 
dx, al 
cx, 100h 
dx 

al, cl 
ax, 2 


dx, al ; красный 

dx, al ; зеленый 

dx, al ; синий 
100 


0a000h 
es 


49Больше о состояниях регистров на старте: https://code.google.com/p/corkami/wiki/ 
InitialValues#D0S 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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хог аі, аі 


FillLoop: 

cwd 

mov ax,di 

mov сх, 320 
div сх 

sub ах, 100 
sub ах, 160 


хог bx,bx 
ХОГ 51,51 


Мапае11 оор: 
mov бр, ѕ=1і 

imul si,bx 

add si,si 

imul bx,bx 

jo MandelBreak 
imul bp,bp 

jo MandelBreak 
add bx,bp 

jo MandelBreak 
sub bx,bp 

sub bx,bp 


sar bx,6 
add bx,dx 
sar si,6 
add si,ax 


loop MandelLoop 


MandelBreak: 
xchg ах, сх 
stosb 

cmp 91, ОРАООП 
jb Е111Г оор 


; дождаться нажатия любой клавиши 
хог ах, ах 

int 16h 

‚ установить текстовый видеорежим 
тоу ах, 3 

int 10h 

; ВЫХОД 

int 20h 


Автор сих строк попытался исправить все эти странности: теперь палитра плав- 
ная черно-белая, видеобуфер на правильном месте (строки 19..20), картин- 
ка рисуется в центре экрана (строка 30), программа в итоге заканчивается 
и ждет, пока пользователь нажмет какую-нибудь клавишу (строки 58..68). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Но теперь она намного больше: 105 байт (или 54 инструкции) 
50 


DOSBox 0.74, Сри speed: 3000 cycles, Егатеѕкір 0, Program: 


Рис. 8.18: Моя «исправленная» версия 


Смотрите также: маленькая программа на Си печатающая множество Ман- 
дельброта в ASCII: https ://people.sc.fsu.edu/~jburkardt/c_src/mandelbrot_ 
ascii/mandelbrot_ascii.html 
https://miyuki.github.io/2017/10/04/gcc-archaeology-1.html. 


8.14. Как a переписывал 100 килобайт х86-кода 
на чистый Си 


То была ОШ-ка с секцией кода 100 килобайт, она брала на вход многоканаль- 
ный сигнал и выдавала другой многоканальный сигнал. Там много всего было 
связано с обработкой сигналов. Внутри было очень много ЕРУ-кода. Написано 
по-олдскульному, так, как писали в то время, когда передача параметров че- 
рез аргументы ф-ций была дорогой, и потому использовалось много глобаль- 
ных переменных и массивов, почти всё хранилось в них, а ф-ции, напротив, 


50Можете поэкспериментировать и сами: скачайте ОоѕВох и NASM и компилируйте так: 
nasm 111е.азт -fbin -o Те. сот 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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имели сравнительно мало аргументов, если вообще. Функции большие, их бы- 
ло около ста. 


Тесты были, много. 


Проблема была в том, что функции слишком большие и Нех-Вауѕ неизменно 
выдавал немного неверный код. Нужно было очень внимательно всё чистить 
вручную. В процессе работы, я нашел в нем каких-то ошибок: 10.9. 


Все 100 ф-ций декомпилировать сразу нельзя — где-то будут ошибки, тесты 
не пройдут, и где вы будете искать эти ошибки? Приходится переписывать по 
чуть-чуть. 


В ОШ-ке есть некая корневая ф-ция, скажем, ProcessMain(). Я переписываю её 
на Си при помощи Нех-Вауѕ, она запускается из обычного .ехе-процесса. Все ф- 
ции из ОРШ-ки, которые вызываются далее, у меня вызывались через указатели 
на ф-ции. ОШ-ка загружена, и пока они все там. 


ASLR отключил, и ОШ-ка каждый раз грузится по одному и тому же адресу, 
потому и адреса всех ф-ций одни и те же. Важно, что и адреса глобальных 
массивов тоже одни и те же 


Затем переписываю ф-ции, вызывающиеся непосредственно из РгосеѕѕМаіп(), 
затем еще ниже, и т. д. Таким образом, ф-ции я постепенно перетаскивал из 
DLL в свою .ехе. Каждый раз тестируя. 


Много раз бывало и так — ф-ция слишком большая, например, несколько кило- 
байт х86-кода, и после декомпиляции в Си, там что-то косячит, и неизвестно 
где. Из IDA я экспортировал её листинг в текст на ассемблере и компилировал 
при помощи обычного ассемблера (ML в М5\С). Она компилируется в .обј-файл 
и прикомпилируется к главной .ехе, и пока всё ОК. Затем я делил эту ф-цию 
на более мелкие, здорово пригодился (когда бы еще?) опыт написания про- 
грамм на чистом ассемблере в середине 90-х (руки до сих пор помнят). Если 
всё работает, более мелкие ф-ции постепенно переписывал на Си при помощи 
Нех-Вауз, в то время как "головная” ф-ция более высокого уровня всё еще на 
ассемблере. 


Интересно, что было много глобальных массивов, но границы между ними бы- 
ли сильно размыты. Но я вижу что есть какой-то большой кусок в секции .data, 
где лежит всё подряд. Дошел до стадии, когда на Си переписано уже всё, а 
все обращения к массивам происходят по адресам внутри секции .data в под- 
гружаемой О-ке, впрочем, там почти не было констант. Затем, чтобы совсем 
отказаться от ОШ -ки, я сделал большой глобальный "кусок” уже у себя на Си, 
и вся работа с массивами шла через мой "кусок”, при том, что все массивы всё 
еще не были отделены друг от друга. 


Вот реальный фрагмент оттуда, как было в начале. Значение — это адрес в 
.дӢаѓа-секции в ОШ-ке: 


int жа ма1511=0х1002В8588; 
int жа ма1483=0х1002В590; 
int жа ма1481=0х1002В85В8; 
int жа ма1515=0х1002В6Е4; 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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И все обращения происходят через указатели. 


Потом я сделал "кусок": 


char 1итр[0х1000000]; 


int 
int 
int 
int 


/* 0x1002B588 */int жа_\а1511= 
/ж 0x1002B590 */int жа_\а1483= 
/ж 0x1002B5B8 */int жа_\а1481= 
/ж 0x1002B6E4 */1пї жа ма1515= 


&lump [0x2B588] ; 
&lump [0x2B590] ; 
&lump [0x2B5B8] ; 
&1итр [0x2B6E4] ; 


~nnan 
——— — 


ОШ -ку теперь можно было наконец-то отцепить и разбираться с границами 
массивов. Этот процесс я хотел немного автоматизировать и использовал для 
этого Рт. Я написал утилиту, которая показывала, по каким адресам в глобаль- 
ном ”куске” были обращения из каждого адреса. Точнее, в каких пределах? 
Так стало проще видеть границы массивов. 


"На войне все средства хороши”, так что я доходил и до того, что использовал 
Mathematica и 73 для сокращения слишком длинных выражений (Нех-Вауѕ не 
всё может оптимизировать): 
https://github.com/DennisYurichev/SAT_SMT by example/blob/master/proofs/ 
simplify ЕМ. Тех. 


Очень хорошим тестом было пересобрать всё под Linux при помощи ССС n 3a- 
ставить работать — как всегда, это было нелегко. Плюс, чтобы работало кор- 
ректно и под x86 и под x64. 


8.15. “Прикуп” в игре “Марьяж” 


Знал бы прикуп — жил бы в Сочи. 


Поговорка. 


“Марьяж” — старая и довольно популярная версия игры в “Преферанс” под 
005. 


Играют три игрока, каждому раздается по 10 карт, остальные 2 остаются в т.н. 
“прикупе”. Начинаются торги, во время которых “прикуп” скрыт. Он открыва- 
ется после того, как один из игроков сделает “заказ”. 


Знание карт в “прикупе” обычно имеет решающее преимущество. 


Вот так в игре выглядит состояние “торгов”, и “прикуп” посредине, скрытый: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


МИЗЕР 


Кп $ 


Рис. 8.19: “Торги” 


Попробуем “подсмотреть” карты в “прикупе” в этой игре. 


Для начала — что мы знаем? Игра под DOS, датируется 1997-м годом. IDA пока- 
зывает имена стандартных функций вроде @бе*Ттаде$ а7Тптедег+11111т3ЗАпу 
— это “манглинг” типичный для Borland Pascal, что позволяет сделать вывод, 
что сама игра написана на Паскале и скомпилирована Borland Раѕса!-ем. 


Файлов около 10-и и некоторые имеют текстовую строку в заголовке “Маггіаде 
Image Library” — должно быть, это библиотеки спрайтов. 


В ДА можно увидеть что используется функция @РиёІтаде$д7Іпёедегі1тзЗАпу4Мо га, 
которая, собственно, рисует некий спрайт на экране. Она вызывается по край- 

ней мере из 8-и мест. Чтобы узнать что происходит в каждом из этих 8-и мест, 

мы можем блокировать работу каждой функции и смотреть, что будет происхо- 
дить. Например, первая ф-ция имеет адрес 5е9002:062Е, и она заканчивается 
инструкцией геї? ОЕһ на 5е9002:102А. Это означает, что метод вызовов ф-ций 

в Borland Pascal под DOS схож с stdcall — вызываемая ф-ция должна сама воз- 
вращать стек в состояние до того как началась передача аргументов. В самом 
начале этой ф-ции вписываем инструкцию “ге{ Оеһ”, либо З байта: СА ОЕ 00. 
Запускаем “Марьяж” и внешне вроде бы ничего не изменилось. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Переходим ко второй ф-ции, которая активно использует @PutImage$q7Integert1m3Any4Word. 
Она находится по адресу 5е9008:0АВ5 и заканчивается инструкцией геї? ОАһ. 
Вписываем эту инструкцию в самом начале и запускаем: 


yeere Ж, ТИКВИ ола, Б гуа ШР! 


^ 
МИЗЕР 


| Торговля | à 


R’ 


Рис. 8.20: Карт нет 


Карт не видно вообще. И видимо, эта функция их отображает, мы её заблоки- 
ровали, и теперь карт не видно. Назовем эту ф-цию в IDA агам сага (). Поми- 
мо @Ри{Ттаде$а7Тптедег{1т3ЗАпу4Мога, в этой ф-ции вызываются также ф-ции 
@ЅеїСо1огфа4мога, @SetFillStyle$q4Wordt1, 

@Ваг$а7Тптедег{11+111, @0иТТехіХҮ$д7ІпТедегі1651гіпд. 


Сама ф-ция агам саг@$() (её название мы дали ей сами только что) вызывает- 
ся из 4-х мест. Попробуем точно также “блокировать” каждую ф-цию. 


Когда я “блокирую” вторую, по адресу 5е9008:00Е3 и запускаю программу, Bn- 
жу такое: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


= е 
МИЗЕР 


Рис. 8.21: Все карты кроме карт игрока 


Видны все карты, кроме карт игрока. Видимо, эта функция рисует карты игро- 
ка. 
Я переименовываю её в IDA в агам р1ауегѕ сагаѕ (). 


Четвертая ф-ция, вызывающая Чгам сагӣѕ (), находится по адресу 5е9008:168В3, 
и когда я её “блокирую”, я вижу в игре такое: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


Ваш выбор 
6А 
МИЗЕР 


Торговля | 7 
i IE 
ы тодар 
в. Рур s 
= Нг ЭЕ 


ИС = 
`Е$С-Меню А17Х-Выход Е1-Справка Е2-Звук ЕЗ-ПУля Е4-Текущий счёт выпуск 03 


Рис. 8.22: “Прикупа” нет 


Все карты есть, кроме “прикупа”. Более того, эта ф-ция вызывает только draw сагаѕ (), 
и только 2 раза. Видимо эта ф-ция и отображает карты “прикупа”. Будем рас- 
сматривать её внимательнее. 


ѕед008:16В83 агам ргікир ргос Таг ; CODE XREF: 5е9010: 00809 
5е9008: 1683 ; 546 15098+6 
ѕед008 : 1683 

ѕед008:16В3 var Е = мога ptr -0ЕВ 

ѕед008:16В3 var С = мога ptr -ӨСһ 

5е9008:168В3 arg 0 = byte ріг 6 

ѕед008 : 1683 

ѕед008 : 1683 enter Еһ, 0 

ѕед008: 1687 mov al, byte_2C0EA 

5е9008: 16ВА xor ah, ah 

$е0008:16ВС imul ax, 23h 

seg008 : 16ВЕ mov [bp+var_C], ax 

seg008 :16C2 mov al, byte_2C0EB 

seg008:16C5 xor ah, ah 

$е0008:16С7 imul ах, OAh 

5е9008:16СА mov [bp+var_E], ax 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


5е9008 : 16 СО 
5е9008 : 1601 
ѕед008 : 1603 
ѕед008 : 1608 
5е9008: 16DA 
5е9008:160А 1ос 1334А: 
агам ргікир+1Е 
ѕед008 : 16DA 
5е9008 : 1600 
5е9008 :16ЕО 
seg008 : 16ЕЗ 
seg008 : 16Е6 
5е9008:16Еб 1ос 13356: 
агам ргікир+25 
5е9008 : 16Е6 
5е9008: 16Е9 
5е9008 : 16ЕВ 
5е9008: 16ЕС 
5е9008 : 16ЕҒ 
ѕед008 : 1621 
5е9008: 1622 
5е9008 : 1625 
5е9008: 1628 
ѕед008 : 16ЕС 


5е9008:1709 1ос 13379: 
агам ргікир+49 

ѕед008 : 1709 

5е9008: 1709 

5е9008 : 170В 

5ед008:170В loc_1337B: 
агам ргікир+54 

5е9008: 170В 

5е9008: 170С 

ѕед008 : 1700 

5е9008: 1710 

5е9008: 1713 

5е9008: 1715 

5е9008: 1717 

5е9008: 1719 

5е9008: 171В 

5е9008:171Е 

5е9008: 1721 

5е9008: 1725 

5е9008: 1727 

5е9008: 172С 

5е9008: 172Е 

5ед008:172Е 1ос 1339Е: 
агам ргікир+72 


mov 


push 
push 
call 
mov 
xor 
mov 
shl 
add 
add 
mov 
cmp 
jnz 
cmp 
jz 


[bp+arg_0], 0 
short loc_1334A 
byte 28808, 0 
short 1ос 13356 


; CODE XREF: 


al, byte ptr word_32084 
byte 293AD, al 
al, byte ptr word_32086 
byte 293АС, al 


; CODE XREF: 
al, byte 293АС 
ah, ah 
ax 
al, byte 293Ар 
ah, ah 
ax 
[bp+var C] 
[bp+var_E] 
[bp+arg_0], 0 
short loc_13379 
byte 28808, 0 
short 1ос 13379 
al, 0 
short 1ос 1337В 
; CODE XREF: 
; агам ргікир+50 
al, 1 
; CODE XREF: 
ax 
С5 
near ptr ағам сага 
al, byte 2С0ЕА 
ah, ah 
si, ax 
ax, 1 
ax, si 
ax, [bp+var_C] 
[bp+var_C], ax 
[bp+arg_0], 0 
short loc 1339Е 
byte 28808, 0 
short loc_133AA 
; CODE XREF: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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5е9008:172Е mov al, byte ptr word_32088 

5е0008:1731 mov byte_293AD, al 

5е9008: 1734 mov al, byte ptr word_3208A 

seg008 : 1737 mov byte_293AC, al 

5е9008: 173A 

seg008:173A loc 1ЗЗАА: ; CODE XREF: 
draw prikup+79 

5е9008:173А тоу al, byte_293AC 

5е9008: 173D xor ah, ah 

ѕед008 : 173F push ax 

5е9008: 1740 mov al, byte_293AD 

5е9008: 1743 xor ah, ah 

5е9068 : 1745 push ax 

ѕед008 : 1746 push [bp+var C] 

seg008:1749 push [bp+var Е] 

seg008:174C cmp [bp+arg_0], © 

seg008:1750 jnz short loc_133CD 

seg008:1752 cmp byte 28808, 0 

5е9008: 1757 jnz short loc_133CD 

seg008:1759 mov al, 0 

seg008:175B jmp short 1ос_133СЕ 


seg008:175D ; 


seg008:175D 


seg008:175D loc 1330р: ; CODE XREF: 
draw prikup+9D 

seg008:175D ; draw ргікир+А4 

5е9008: 1750 mov al, 1 

seg008:175F 

seg008:175F loc_133CF: ; CODE XREF: 
агам prikup+A8 

seg008:175F push ax 

seg008:1760 push С5 

seg008:1761 call near ptr draw_card ; prikup #2 

seg008:1764 leave 

seg008:1765 retf 2 

seg008:1765 draw ргікир endp 


Интересно посмотреть, как именно вызывается draw ргікир(). У нее только 
один аргумент. 


Иногда она вызывается с аргументом 1: 


ѕед010 :084С push 1 
seg010 : 084E call draw ргікир 


А иногда с аргументом 0, причем BOT в таком контексте, где уже есть другая 
знакомая функция: 


5е9010:0067 push 1 

seg010:0069 mov al, byte_31F41 
seg010:006C push ax 

seg010:006D call sub_12FDC 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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5е9010 
seg010 
seg010 
seg010 
seg010 
seg010 
seg010 
seg010 
seg010 
seg010 
seg010 
seg010 
seg010 
seg010 
seg010 
seg010 
seg010 
seg010 
seg010 
seg010 
seg010 
seg010 
seg010 
seg010 


:0072 
:0074 
:0077 
:0078 
:007D 
:007F 
:0082 
:0083 
:0088 
:008A 
:008D 
: 008E 
:0093 
:0095 
:0098 
:0099 
:009E 
:00A0 
: 0043 
:00А4 
:00А9 
: 00АЕ 
:00B0 
:00B5 


push 
mov 

push 
call 
push 
mov 

push 
call 
push 
mov 

push 
call 
push 
mov 

push 
call 
push 
mov 

push 
call 
call 
push 
call 
mov 


1 

al, byte_31F41 

ax 

агам р\1ауегѕ сагаѕ 
2 


al, byte 31Р42 


ax 
sub _12FDC 

2 

al, byte 31Е42 

ax 
draw_players_cards 
3 

al, byte 31743 

ax 

sub_12FDC 

3 

al, byte 31743 

ax 

агам р\1ауегѕ сагаѕ 
ѕир 1257А 

0 


draw ргікир 
byte 2ВВ95, 0 


Так что единственный аргумент у агам ргікир() может быть или 0 или 1, T.e., 
это, возможно, булевый тип. На что он влияет внутри самой ф-ции? При бли- 
жайшем рассмотрении видно, что входящий 0 или 1 передается в draw сага ( ), 
т.е., у последней тоже есть булевый аргумент. Помимо всего прочего, если пе- 
редается 1, то по адресам seg008:16DA и 5ед008:172Е копируются несколько 
байт из одной группы глобальных переменных в другую. 


Эксперимент: здесь 4 раза сравнивается единственный аргумент с 0 и далее 
следует JNZ. Что если сравнение будет происходить с 1, и, таким образом, pa- 
бота функции агам рг1Кир() будет обратной? Патчим и запускаем: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


Рис. 8.23: “Прикуп” открыт 


“Прикуп” открыт, но когда я делаю “заказ”, и, по логике вещей, “прикуп” те- 
перь должен стать открытым, он наоборот становится закрытым: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


+ +; + "+0 НО: 


ч о 2% z 
Е5С-Меню Alt¥-Bnxog Е1-Справка Е2-Звук ЕЗ-Пуля Е4-Текуций счёт 


Рис. 8.24: “Прикуп” закрыт 


Всё ясно: если аргумент агам рг1Кир() нулевой, то карты рисуются рубашкой 
вверх, если 1, то открытые. Этот же аргумент передается в Чгам сага() — эта 
ф-ция может рисовать и открытые и закрытые карты. 


Пропатчить “Марьяж” теперь легко, достаточно исправить все условные пере- 
ходы так, как будто бы в ф-цию всегда приходит 1 в аргументе и тогда “при- 
куп” всегда будет открыт. 


Но что за байты копируются в ѕ5ед008:16рА и 5е9008:172Е? Я попробовал 3a- 
бить инструкции копирования MOV МОР-ами — “прикуп” вообще перестал отоб- 
ражаться. 


Тогда я сделал так, чтобы всегда записывалась 1: 


00004B5A: B001 mov al,1 
00004B5C: 90 nop 

00004B5D: А26008 mov [0086D],al 
00004B60: B001 mov al,1 
00004B62: 90 nop 

00004B63: A26C08 mov [0086C],al 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Тогда “прикуп” отображается как два пиковых туза. А если первый байт — 2, а 
второй — 1, получается трефовый туз. Видимо так и кодируется масть карты, 
а затем и сама карта. А Чгам сага () затем считывает эту информацию из пары 
глобальных переменных. А копируется она тоже из глобальных переменных, 
где собственно и находится состояние карт у игроков и в прикупе после слу- 
чайной тасовки. Но нельзя забывать, что если мы сделаем так, что в “прикупе” 
всегда будет 2 пиковых туза, это будет только на экране так отображаться, а 
в памяти состояние карт останется таким же, как и после тасовки. 


Всё понятно: автор решил сделать одну ф-цию для отрисовки и закрытого и 
открытого прикупа, поэтому нам, можно сказать, повезло. Могло быть труднее: 
в самом начале рисовались бы просто две рубашки карт, а открытый прикуп 
только потом. 


Я также пробовал сделать шутку-пранк: во время торгов одна карта “прику- 
па” открыта, а вторая закрыта, а после “заказа”, наоборот, первая закрыта, а 
вторая открывается. В качестве упражнения, вы можете попробовать сделать 
так. 


Еще кое-что: чтобы сделать прикуп открытым, ведь можно же найти место где 
вызывается draw ргікир() и поменять 0 на 1. Можно, только это место не в 
головой таггіаде.ехе, а в таггіаде.000, а это 005-овский оверлей (начинается 
с сигнатуры “ЕВО\”). 


В качестве упражнения, можно попробовать подсматривать состояние всех 
карт, иу обоих игроков. Для этого нужно отладчиком смотреть состояние гло- 
бальной памяти рядом с тем, откуда считываются обе карты прикупа. 


Файлы: 

оригинальная версия: һїїр: //Бед1ппег$ . ге/ехатр1еѕ/таггіаде/огідіпаі. ір, 
пропатченная мною версия: һіїр: //Бед1ппег$ . ге/ехатр1еѕ/таггіаде/раїсћһеа. 
zip (все 4 условных перехода после стр [Бр+агд_0], 0 заменены на JMP). 


8.15.1. Упражнение 


Бытовали слухи, что сама программа жульничает, “подглядывая” в карты соперников- 
людей. Это возможно, если алгоритмы, определяющие лучший ход, будут ис- 
пользовать информацию из карт соперника. Тогда будет видно, что происхо- 

дят обращения к этим глобальным переменным из этих мест. Либо же этого 

не будет видно, если эти обращения происходят только из ф-ции генерации 
случайных карт и ф-ций их отрисовки. 


8.16. Другие примеры 


Здесь также был пример с 73 и ручной декомпиляцией. Он перемещен сюда: 
https://sat-smt. codes. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


Глава 9 


Примеры разбора закрытых 
(проприетарных) форматов 
файлов 


9.1. Примитивное ХОВ-шифрование 


В русскоязычной литературе также используется термин гаммирование. 


9.1.1. Простейшее ХОВ-шифрование 


Однажды я видел ПО, где все отладочные сообщения были зашифрованы ис- 
пользуя XOR со значением 3. Иными словами, 2 младших бита каждого символа 
были переключены. 


“Hello, world” становилось “Kfool/#tlqog”: 


Листинг 9.1: Python 


#!/usr/bin/python 
msg="Hello, world!" 


print "".join(map(lambda x: chr(ord(x)^3), msg)) 


Это интересное шифрование (или даже обфускация), потому что оно имеет 
два важных свойства: 1) одна ф-ция для шифрования/дешифрования, просто 
вызовите её еще раз; 2) символы на выходе печатаемые, так что вся строка 
может быть использована в исходном коде без специальных (escaping) симво- 
лов. 


Второе свойство использует тот факт что все печатаемые символы расположе- 
ны в рядах: 0х2х-0х7х, и когда вы меняете два младших бита, символ переме- 
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щается на 1 или 3 символа влево или вправо, но никогда не перемещается в 
другой (может быть, непечатаемый) ряд: 


Рис. 9.1: 7-битная АЗС!-таблица в Emacs 


...С единственным исключением символа 0x7F. 


Например, давайте зашифруем символы в пределах А-2: 


#!/usr/bin/python 
msg="@ABCDEFGHIJKLMNO" 


print "".join(map(lambda x: chr(ord(x)^3), msg)) 


Результат: СВА@СҒЕР”РКЈІНОММІ. 
Это как если символы “@” и “С” были поменены местами, и так же n “B” n “a”. 


Так или иначе, это интересный пример использующий свойства XOR, нежели 
шифрование: тот самый эффект сохранения печатаемости может быть достиг- 
нут переключая любой из младших 4-х бит, в любой последовательности. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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9.1.2. Norton Guide: простейшее однобайтное ХОВ-шифрование 


Norton Guide был популярен во времена MS-DOS, это была резидентная npo- 
грамма, работающая как гипертекстовый справочник. 


Базы данных Norton Guide это файлы с расширением .пд, содержимое которых 
выглядит как зашифрованное: 


view X86.NG - Far 2.0.1807 x64 Administrator 


0000000170: 
0900900180: 
0900900190: 
0000000140: 
0900900188: 
00000001С0: 
0900900108: 
00000001Е0: 
00000001F0: 
0000000200: 
0000000210: 
0000000220: 
0000000230: 
00000002409: 
0000000250: 
0900900260: 
0000000270: 
0000000280: 
0000000290: 
00000002А0: 
0900900288: 
00000002С0@: 
0000000200: 
00000002Е@: 
00000002Е0@: 
0000000300: 
0000000310: 
0000000320: 


t> | ез 
(ES 
—>> 1514 1-щЕ1> 
зн кН 


ЕЕЕБТЕЕКЕЕЕВ ЕБ 


ЕЕЕЕУЕЕЕЕЕЕЕУЕЕб 
ээээҮЈ0»5+іпһоуп 
5и{ : ідп»На}ѕіпаћ 
іэЈһипадупѕи+6: јһ 
515ма}а» Буајпѕи 
ti+[~~hðiist}:wu 
^61->/3уц-61-1>0 
>4->$ р 
ээээээ>!д}эЩиА>> 
р 
э>>>>\ ]0»511пһ 
оупзи{ :1ап->На} $1 
паһіб:~{п{ : псјаі 
3>41->3->1->&->>>>>>> 
м Е 
СЕЕЕТЕЕЕУЕСЕҒЕЕЄ 
WWB->Stinhoynsut: 
ібпээээЛоЩ»ээххх 
хххэәә 3 3 3 
IKO. 46-м: be> 
>с$г:->Д$9>->>й$> 
3->3407-+146(+>1 


Рис. 9.2: Очень типичный вид 


Почему мы думаем, что зашифрованное а не сжатое? 


Мы видим, как слишком часто попадается байт 0х1А (который выглядит как 
«-»), в сжатом файле такого не было бы никогда. 


Во-вторых, мы видим длинные части состоящие только из латинских букв, они 
выглядят как строки на незнакомом языке. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: | . Спасибо! 
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Из-за того, что байт 0х1А слишком часто встречается, мы можем попробовать 
расшифровать файл, полагая что он зашифрован простейшим ХОВ-шифрованием. 


Применяем XOR с константой Ох1А к каждому байту в Нем! и мы можем видеть 
знакомые текстовые строки на английском: 


X86 . NG ВИО EDITMODE 00009032F 
00000170: 02 0@-А9 өө йй 
00000180: 00 00-00 өө B 
00000190: 02 0@-ЕЗ E8 xA +пй 
00000140 : өз 00-54 08 ѕт2) гай OAR 
00000180: 06 08-6Е 08 а 
000001C0: 06 00-8F ее Д 
00090100: 06 08-А8 өө Е и 
000001Е0: 73 74-72 75 СРО Instruct 
000001F0: 67 69-73 74 ion set Register 
00000200 : 6F 6E-2C 20 s Protection, pr 
00000210: 63 65-70 74 ivilege Exceptio 
00000220: 69 6E-67 20 ns Addressing mo 
00000230: 73 00-00 02 des Орсодеѕ В К 
00000240: ов 00-00 өе BRE 
00000250: 06 83-В2 04 318 гЁ $ 
00000260: ев 00-00 өе 4 3 
000090270: 906 49-6Е 73 FPU Instr 
00000280: 08 52-65 67 uction set Regis 
00000290: 26 74-79 76 ters, data types 
00000249 : ве 00-00 өө в) вв 
000002B0: ге 00-B6 DC Чиа 
000002C0: ве 00-00 өө B ( 
00000200: 63 74-69 6Е MMX Instruction 
000002E90 : 06 00-00 FF set car 
000002F0: ов 00-00 өе Е 
00000300 : 57-03 APA 40x0 М0 
00000310: 24 00-00 Вз yh Ю2#$ [8 
00000320: Өз 70-32 00 15е- -8}2 В 

Ши Б охот 19 Е Е 9 11 


Рис. 9.3: Нем применение ХОК с 0х1А 


ХОВ-шифрование с одним константным байтом это самый простой способ wng- 
рования, который, тем не менее, иногда встречается. 


Теперь понятно почему байт 0х1А так часто встречался: потому что в файле 
очень много нулевых байт и в зашифрованном виде они везде были заменены 
на Ох1А. 


Но эта константа могла быть другой. 


В таком случае, можно было бы попробовать перебрать все 256 комбинаций, и 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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посмотреть содержимое «на глаз», а 256 — это совсем немного. 


Больше о формате файлов Norton Guide: http ://www.davep.org/norton-guides/ 
Ғі1е- Ғогта+/. 
Энтропия 


Очень важное свойство подобного примитивного шифрования в том, что ин- 
формационная энтропия зашифрованного/дешифрованного блока точно такая 
же. Вот мой анализ в Wolfram Mathematica 10. 


Листинг 9.2: Wolfram Mathematica 10 


Іп[1]:= input = ВіпагуВеаагіѕ+["Х86.№6" ]; 

Іп[2]:= Епїгору[2, input] // N 

Out[2]= 5.62724 

1п[3]:= decrypted = Мар [ВіХог[#, 16^^1А] &, input]; 


Іп[4]:= Ехрогї["Х86 десгурїеа. №", decrypted, "В1пагу"]; 


Іп[5]:= Епігору[2, decrypted] // N 
Ои [5]= 5.62724 


1п[6]:= Епігору[2, Ехатр1ера+а[{ "Тех", "ЅһакеѕреагеѕЅоппеїѕ5"}]] // N 
Ои [6]= 4.42366 


Что мы здесь делаем это загружаем файл, вычисляем его энтропию, дешифру- 
ем его, сохраняем, снова вычисляем энтропию (точно такая же!). 


Маїһетаїїса дает возможность анализировать некоторые хорошо известные 
англоязычные тексты. 


Так что мы вычисляем энтропию сонетов Шейкспира, и она близка к энтропии 
анализируемого нами файла. 


Анализируемый нами файл состоит из предложений на английском языке, ко- 
торые близки к языку Шейкспира. 


И применение побайтового ХОК к тексту на английском языке не меняет эн- 
тропию. 


Хотя, это не будет справедливо когда файл зашифрован при помощи XOR шаб- 
лоном длиннее одного байта. 


Файл, который мы анализировали, можно скачать здесь: http://beginners. 
ге/ехатр1е/погфоп_ дитае/х86. №. 


Еще кое-что о базе энтропии 
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Wolfram Mathematica вычисляет энтропию с базой е (основание натурального 
логарифма), а утилита UNIX епё использует базу 2. 


Так что мы явно указываем базу 2 в команде Entropy, чтобы Mathematica дава- 
ла те же результаты, что и утилита ent. 


lhttp://www. Роиги Лаб. сһ/ гапаот/ 
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9.1.3. Простейшее четырехбайтное ХОВ-шифрование 


Если при ХОВ-шифровании применялся шаблон длиннее байта, например, 4- 
байтный, то его также легко увидеть. 


Например, вот начало файла Кегпе!32.а! (32-битная версия из Windows Server 
2008): 


Рис. 9.4: Оригинальный файл 
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Вот он же, но «зашифрованный» 4-байтным ключом: 


Нем: Кегпе!32.41.епсгур ед 


Рис. 9.5: «Зашифрованный» файл 


Очень легко увидеть повторяющиеся 4 символа. 


Ведь в заголовке РЕ-файла много длинных нулевых областей, из-за которых 
ключ становится видным. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Вот начало РЕ-заголовка в 16-ричном виде: 


С: \tmp2\kerne132.d11 РЕ_.70060290 
.7006@@ЕӨ: ШЕТ 
.7006@ӨЕӨ: 53-00 
.70060100: 00-09 
.70060110: 00-00 
.70060120: 00-00 
.70060130: 00-00 
.70060140: 00-03 
.70060150: 00-09 
.70060160: 00-в1 
.70060170: 00-28 
. 70060189: 00-00 
.70060190: 00-38 
.70060140: 00-00 
. 7DD601B0: 00-40 
.700601С0: 00-F@ 
.70060100: 00-09 
. 7DD601E0: 78-74 
. 7DD601F0: 00-09 
.70060200: 00-20 
.7006@210: 00-00 
.70060220: 00-00 
.70060230: 72-63 
.70060240: 00-00 
.70060250: 00-40 
.70060260: 00-09 
.70060270: 00-09 
.70060280: 00-00 
.7DD60290: Æ 00-00 
Globa E E 


Рис. 9.6: РЕ-заголовок 
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И вот он же, «зашифрованный»: 


Нем: Кегпе!32.91.епсгур ед 


00000290 
00000OEO : 61 D2 63-8C сМатсщ®%тс [ 
оеовеоЕе: ЕВ C7 30-8С ®/#МатсМатс1а®В 
00000100: 60 DB 63-8C 3` ЁсмаёсматсМатс 
00000110: 53 D3 63-8C as ТсмаИсмайсмава 
00000120: 61 03 63-8С Май<Ма<КайсКайс 
00000130: 61 D3 63-8C КаїсМатсМа сма с 
00000149: 64 C3 63-8F "а|сПаТЬМагсМатс 
00000150: 61 C2 63-8С МатсМатсМатсЬаүс 
00000160: 9E D9 63-3D Wol с=Їт си сх` үс 
00000170: 61 DD 63-44 Ма] сдатсМатсМатс 
00000180: 61 D2 63-8C МатсМатсМатс@[ үс 
00000190: 66 DF 63-B4 ~ С атсматсматс 
00000140: 61 D2 63-8C МатсМатсМатсМатс 


000001B0 : 54 DA 63-CC ьтүс[гүсМаүсМаүс 


000001C0: 61 D3 63-7C Ма | 1тсМатсМатс 
00000109: 61 02 63-8С МатсМатсМа смаүс 
000001E0: 15 B7 1B-F8 8 8°а св ма с 
000001F0: 61 DF 63-8C Ма@сма сМатсМатс 
00009200: 61 02 63-АС Матсматвев Взатс 
00000210: 71 02 63-8С АатсМащсМасМащс 
00000220: 61 02 63-8С МатсМатсМатс[атг 
00000230: 13 А1 11-EF в 6 яа ны f 
00000240: 61 D3 63-8C Ma lcMaļ сматсматс 
00000250: 61 02 63-СС Marc faten Byrce 
00000260: СС 02 63-8С а <Матсма [<Матс 
00000270: 61 02 63-8С МатсМатсМатс[ ат! 
00000280: 61 02 63-8С МатсМатсМатсМатс 
00000290: [@ 61 02 63-8С ПатсМатсМатсМатс 
1619621 1 ЖБ< ЗЕ Ве оао Estrin О 1 гес Е Та 1е № 19 еаме 11 


Рис. 9.7: «Зашифрованный» РЕ-заголовок 


Легко увидеть визуально, что ключ это следующие 4 байта: 8С 61 02 63. Ис- 
пользуя эту информацию, довольно легко расшифровать весь файл. 


Таким образом, важно помнить эти свойства РЕ-файлов: 1) в РЕ-заголовке мно- 
го нулевых областей; 2) все РЕ-секции дополняются нулями до границы стра- 
ницы (4096 байт), так что после всех секций обычно имеются длинные нулевые 
области. 


Некоторые другие форматы файлов могут также иметь длинные нулевые об- 
ласти. 


Это очень типично для файлов, используемых научным и инженерным ПО. 


Для тех, кто самостоятельно хочет изучить эти файлы, то их можно скачать 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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здесь: 
тр: //бед1ппег$ . ге/ехатр1еѕ/ХОВ 46бу+е/. 


Упражнение 


e Пр: //сһа11епдеѕ. ге/50 


9.1.4. Простое шифрование используя ХОВ-маску 


Я нашел одну старую игру в стиле interactive fiction в архиве if-archive?: 


Тре New Castle v3.5 – Text/Adventure Game 

in the style of the original Infocom (tm) 

type games, Zork, Collosal Cave (Adventure), 

etc. Can you solve the mystery of the 

abandoned castle? 

Shareware from Software Customization. 

Software Customization [ASP] Version 3.5 Feb. 2000 


Можно скачать здесь: https ://beginners.re/paywall/RE4B-source/current-tree/ 
/ff/XOR/mask _1/files/newcastle. tgz. 


Там внутри есть файл (с названием castle.dbf), который явно зашифрован, но 
не настоящим криптоалгоритмом, и он не сжат, это что-то куда проще. Я бы 
даже не стал измерять уровень энтропии (9.2 (стр. 1193)) этого файла, потому 
что я итак уверен, что он низкий. Вот как он выглядит в Midnight Commander: 


D 
Та] 

т = 
- 2 
= 


5шю: Јн 


а аши, а 


‚ШЕСТЬ & 
„Рш.т. j 


ЕГЕ пе 


6L: „ш. iubgv.” 


`;р 
uPd. tq 
#.-<ЕКи>). 


Рис. 9.8: Зашифрованный файл в Midnight Commander 


2http://www.ifarchive.org/ 
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Зашифрованный файл можно скачать здесь: һіїрѕ : / /редіппегѕ. ге/раума11/ 
ВЕДВ - зоигсе/сиггеп* - тгее//Т+т/ХОВ/та$К_ 1/111е5/са${Те. аб+. 622. 


Можно ли расшифровать его без доступа к программе, используя просто этот 
файл? 


Тут явно просматривается повторяющаяся строка. Если использовалось про- 
стое шифрование с ХОВ-маской, такие повторяющиеся строки это явное сви- 
детельство, потому что, вероятно, тут были длинные лакуны с нулевыми бай- 
тами, которые, в свою очередь, присутствуют во многих исполняемых файлах, 
и в остальных бинарных файлах. 


Вот дамп начала этого файла используя утилиту хха из UNIX: 


0000030: 09 61 0а 63 Of 77 14 69 75 62 67 76 01 7e 1d 61 .а.с.м.іирду.-.а 
0000040: 7а 11 ОТ 72 бе 03 05 7а 7а 63 7e 77 66 le 7а 02 2. .гп..}}с-м#. 2. 
0000050: 75 50 02 4a 31 71 31 33 5с 27 08 5c 51 74 Зе 39 ИР. Ј1413\'.\01>9 
0000060: 50 2e 28 72 24 4b 38 21 4с 09 37 38 3b 51 41 2а Р. (г$К8!1.78;0А-– 
0000070: 1с Зс 37 54 27 5a 1с 7с ба 10 14 68 77 08 ба 1а .<7]'2. |ј..һм. т. 


0000080: ба 09 61 0а 63 Of 77 14 69 75 62 67 76 01 7e 14 j.a.c.w.iubgv.~. 
0000090: 61 7а 11 Of 72 бе 03 05 7а 7а 63 7e 77 66 le 7а аг. .гп..}}с-м#.2 
00000а0: 02 75 50 64 02 74 71 66 76 19 63 08 13 17 74 7а .uPd.tqfv.c...t} 
0000050: 6b 19 63 64 72 66 бе 79 73 1f 09 75 71 6f 05 04 К.стгҒ.уѕ. . идо. . 
00000с0: 7f 1с 7а 65 08 бе бе 12 7с ба 10 14 68 77 08 ба ..ze.n..|j..hw.m 


00000490: 1а ба 09 61 0а 63 Of 77 14 69 75 62 67 76 01 7e .ј.а.с.м.іирду. ~ 
00000е0: 14 61 7а 11 Of 72 бе 03 05 7а 7а 63 7e 77 66 le .ах..гп..}}с-м+. 
0000010: 7а 02 75 50 01 4а 3b 71 24 38 56 34 5b 13 40 Зс z.uP.J;q-8V4[.@< 
0000100: Зс 3f 19 26 3b 3b 2а бе 35 26 44 42 26 71 26 4b <?.&;; ж. 56МВӧд&К 
0000110: 04 20 54 3f 65 40 2b 4f 40 28 39 10 5b 2e 77 45 .+Т?е@+0@(9.[.мЕ 


0000120: 28 54 75 09 61 0а 63 Of 77 14 69 75 62 67 76 01 (Ти.а.с.м.іирду. 
0000130: 7e 14 61 7а 11 Of 72 бе 03 05 74 7d 63 7e 77 66 -.ад..г..}} с-м? 
0000140: 1е 7а 02 75 50 02 4а 31 71 15 Зе 58 27 47 44 17 .2.иР.Ј14.>Х'6р. 
0000150: 3f 33 24 4e 30 бс 72 66 бе 79 73 1f 09 75 71 61 ?3$М№01гҒ.уѕ. . идо 
0000160: 05 04 7f 1с 7а 65 08 бе бе 12 7с ба 10 14 68 77 ....2е.п..|ј..һм 


Давайте держаться за повторяющуюся строку іирду. Глядя на этот дамп, мы 
можем легко увидеть, что период повторений этой строки это 0х51 или 81. Ве- 
роятно, 81 это длина блока? Длина файла 1658961, и она может быть поделена 
на 81 без остатка (и тогда там 20481 блоков). 


Теперь я буду использовать Mathematica для анализа, есть ли тут повторяющи- 
еся 81-байтные блоки в файле? Я разделю входной файл на 81-байтные блоки 
и затем использую ф-цию Та!у[]3 которая просто считает, сколько раз каждый 
элемент встретился во входном списке. Вывод Tally не отсортирован, так что 


3https://reference.wolfram.com/language/ref/Tally.html 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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я также добавлю ф-цию Sort[] для сортировки его по кол-ву вхождений в HNC- 
ходящем порядке. 


input = BinaryReadList["/home/dennis/.../castle.dbf"]; 
blocks = Partition[input, 81]; 


stat = Sort[Tally[blocks], #1[[2]] > #2[[2]] &] 


И вот вывод: 


{{{80, 103, 2, 116, 113, 102, 118, 25, 99, 8, 19, 23, 116, 125, 107, 
25, 99, 109, 114, 102, 14, 121, 115, 31, 9, 117, 113, 111, 5, 4, 
127, 28, 122, 101, 8, 110, 14, 18, 124, 106, 16, 20, 104, 119, 8, 
109, 26, 106, 9, 97, 13, 99, 15, 119, 20, 105, 117, 98, 103, 118, 
І, 126, 29, 97, 122, 17, 15, 114, 110, 3, 5, 125, 125, 99, 126, 
119, 102, 30, 122, 2, 117}, 1739}, 

{{80, 100, 2, 116, 113, 102, 118, 25, 99, 8, 19, 23, 116, 

125, 107, 25, 99, 109, 114, 102, 14, 121, 115, 31, 9, 117, 113, 
111, 5, 4, 127, 28, 122, 101, 8, 110, 14, 18, 124, 106, 16, 20, 
104, 119, 8, 109, 26, 106, 9, 97, 13, 99, 15, 119, 20, 105, 117, 
98, 103, 118, 1, 126, 29, 97, 122, 17, 15, 114, 110, 3, 5, 125, 
125, 99, 126, 119, 102, 30, 122, 2, 117}, 1422}, 

{180, 101, 2, 116, 113, 102, 118, 25, 99, 8, 19, 23, 116, 

125, 107, 25, 99, 109, 114, 102, 14, 121, 115, 31, 9, 117, 113, 
111, 5, 4, 127, 28, 122, 101, 8, 110, 14, 18, 124, 106, 16, 20, 
104, 119, 8, 109, 26, 106, 9, 97, 13, 99, 15, 119, 20, 105, 117, 
98, 103, 118, 1, 126, 29, 97, 122, 17, 15, 114, 110, 3, 5, 125, 
125, 99, 126, 119, 102, 30, 122, 2, 117}, 1012}, 

{180, 120, 2, 116, 113, 102, 118, 25, 99, 8, 19, 23, 116, 

125, 107, 25, 99, 109, 114, 102, 14, 121, 115, 31, 9, 117, 113, 
111, 5, 4, 127, 28, 122, 101, 8, 110, 14, 18, 124, 106, 16, 20, 
104, 119, 8, 109, 26, 106, 9, 97, 13, 99, 15, 119, 20, 105, 117, 
98, 103, 118, 1, 126, 29, 97, 122, 17, 15, 114, 110, 3, 5, 125, 
125, 99, 126, 119, 102, 30, 122, 2, 117}, 377}, 


{{80, 2, 74, 49, 113, 21, 62, 88, 39, 71, 68, 23, 63, 51, 36, 78, 48, 
108, 114, 102, 14, 121, 115, 31, 9, 117, 113, 111, 5, 4, 127, 28, 
122, 101, 8, 110, 14, 18, 124, 106, 16, 20, 104, 119, 8, 109, 26, 
106, 9, 97, 13, 99, 15, 119, 20, 105, 117, 98, 103, 118, 1, 126, 
29, 97, 122, 17, 15, 114, 110, 3, 5, 125, 125, 99, 126, 119, 102, 
30, 122, 2, 117}, 1}, 

{{80, 1, 74, 59, 113, 45, 56, 86, 52, 91, 19, 64, 60, 60, 63, 

25, 38, 59, 59, 42, 14, 53, 38, 77, 66, 38, 113, 38, 75, 4, 43, 84, 
63, 101, 64, 43, 79, 64, 40, 57, 16, 91, 46, 119, 69, 40, 84, 117, 
9, 97, 13, 99, 15, 119, 20, 105, 117, 98, 103, 118, 1, 126, 29, 

97, 122, 17, 15, 114, 110, 3, 5, 125, 125, 99, 126, 119, 102, 30, 

122, 2, 117}, 1}, 

{{80, 2, 74, 49, 113, 49, 51, 92, 39, 8, 92, 81, 116, 62, 57, 

80, 46, 40, 114, 36, 75, 56, 33, 76, 9, 55, 56, 59, 81, 65, 45, 28, 
60, 55, 93, 39, 90, 28, 124, 106, 16, 20, 104, 119, 8, 109, 26, 

106, 9, 97, 13, 99, 15, 119, 20, 105, 117, 98, 103, 118, 1, 126, 
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29, 97, 122, 17, 15, 114, 110, 3, 5, 125, 125, 99, 126, 119, 102, 
30, 122, 2, 117}, 1} 


Вывод Tally это список пар, каждая пара это 81-байтный блок и количество раз, 
сколько он встретился в файле. Мы видим, что наиболее часто встречающийся 
блок это первый, он встретился 1739 раз. Второй встретился 1422 раза. Есть и 
другие: 1012 раза, 377 раз, и т. д. 81-байтные блоки, встреченные лишь один 
раз, находятся в конце вывода. 


Попробуем сравнить эти блоки. Первый и второй. Есть ли в Mathematica ф-ция 
для сравнения списков/массивов? Наверняка есть, но в педагогических целях, 
я буду использовать операцию ХОВ для сравнения. Действительно: если байты 
во входных массивах равны друг другу, результат операции XOR это 0. Если 
не равны, результат будет ненулевой. 


Сравним первый блок (встречается 1739 раз) и второй (встречается 1422 раз): 


In[]:= BitXor[stat[[1]][[1]], stat[[2]][[1]]] 

Out[]= {0, 3, 0, 0, 0, 0, 0, 0,0, 0, 0, 0,0, 0, 0, 0, 0,0, 0, \ 

0, 0, 0, 0,0, 0, 0,0, 0, 0, 0, 0,0, 0, 0, 0,0, 0, 0, 0, 0,0, 0, \ 
0, 0, 0, 0,0, 0, 0, 0,0, 0, 0, 0,0, 0, 0, 0,0, 0, 0, 0, 0,0, 0, \ 
0, 0, 0,0, 0, 0, 0,0, 0, 0, 0,0, 0, 0, 0, 0} 


Они отличаются только вторым байтом. 


Сравним второй блок (встречается 1422 раза) и третий (встречается 1012 раз): 


Іп[]:= BitXor[stat[[2]][[1]], stat[[3]][[1]]] 

Out[]= {0, 1, 0, 0, 0, 0, 0, о, о, 0, о, 0, о, 0, 0, 0, 0, 0, 0, \ 

о, 0, 0, о, о, о, о, о, о, о, о, о, 0,0,0, о, 0, 0, 0, 0, 0, 0, 0, \ 
о, 0, 0, о, о, о, о, 0, о, 0, о, о, 0, 0©, 0, о, 0, 0, 0, 0, 0, 0, 0, \ 
о, 0, 0,0, 0, о, о, о, 0, 0, о, 0, 0, 0, 0, 0} 


Они тоже отличаются только вторым байтом. 


Так или иначе, попробуем использовать самый встречающийся блок как XOR- 
ключ и попробуем расшифровать первые 4 81-байтных блока в файле: 


Іп[]:= key = stat[[1]][[1]] 

Out[]= {80, 103, 2, 116, 113, 102, 118, 25, 99, 8, 19, 23, 116, \ 
125, 107, 25, 99, 109, 114, 102, 14, 121, 115, 31, 9, 117, 113, 111, 
5, 4, 127, 28, 122, 101, 8, 110, 14, 18, 124, 106, 16, 20, 104, 119, 
8, 109, 26, 106, 9, 97, 13, 99, 15, 119, 20, 105, 117, 98, 103, 118, 
1, 126, 29, 97, 122, 17, 15, 114, 110, 3, 5, 125, 125, 99, 126, 119, 
102, 30, 122, 2, 117} 


а 


Іп[]:= ТоАЅСІ1[ма1 ] := If[val == 0, " ", FromCharacterCode[val, "2 
4 PrintableASCII"]] 


In[]:= DecryptBlockASCII[blk ] := Map[ToASCII[#] &, BitXor[key, blk]] 


In[]:= DecryptBlockASCII[blocks[[1]]] 
Out [ ]= {" и р и и P и и Р и и р и и А и и К и и , и и , и и $ и и , и и 7 и \ 


ин ин ин ин ин ин ин ин ин ин ин ин ин и \ 
, , , , , , , , , , , , , , 
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и ин ин ин ин ин ин ин ин ин ин ин ин ин и \ 
, , , , , , , , , , , , , , 

и ин ин ин ин ин ин ин ин ин ин ин ин ин и \ 
, , , , , , , , , , , , , , 

и ин ин ин ин ин ин ини ин ин ин ин ин ин и \ 
, , , , , , , , , , , , , , 

и ин ин ин ин ин ин ин ин ин ин ини нии ин 
, , , , , , ГД , , , , ГД , } 


H 
5 
— 
— 

| 


= DecryptBlockASCII[blocks[[2]]] 

Оч []= {" Б "е", "Н", Е " g "үү", Е, "Е", "р", E "> "0", \ 

ЧЕ"; х “, "С", "В", "1", "М", ЧЕ", Е "› "В", ЧЕ", ЕА "В", "6", А "у \ 
"В", "І", "Т", "ТТ", ЗЕ“, "В", 5 S “ЕС, "В", "у", "І", a "ещ. \ 


ин ин ин ин ин ин ин ин ин ин ин ин ин ни \ 
, , , , , , , , , , , , , , 

ин ин нии ин ин ин ин ин ин ин ин ин ин ин \ 
7 , , , , , , , , , , , , , 

ин ин ин ин ин ин ин ин ин ин ин ин ин ин \ 
, , , , , , , , , , , , , , 


++ 

5 

— 

hand 
| 


= DecryptBlockASCII[blocks[[3]]] 
Out [ ]= {" и ӯ и ? и ў и и i и и 2 и и , и и , и и р и и Р и и Р и и ў и \ 


ты - 


, , , , , , , , , , , , , , 

и ин ин ин ин ин ин ин ин ин ин ин ин ин и 
, , , , , , , , , , , , , , 

и ин ин ин ин ин ин ин ин ин ин ин ин ин и 
, , , , , , , , , , , , , , 


H 
5 
— 
к 

| 


= DecryptBlockASCII[blocks[[4]]] 

Ои []= {" РАА Е "Н", "0", Е ЕЯ "К", "№", "0", "үү", Әти " Б \ 

"үү", "Н", "А" r “т” r Б а r "Е", "y" , "т" r "L" r " Б “ES , "y" , "А" г А "К", 
"б" L i г 7 Е І" r "N" , г] i , "т" та "Н" r А Е" r А Е 7 "Н" 7 " Е" r “Ат r " В" 7 АЕ 7 
в 5 i L 6 8 L Е 0" r " Е А r Е а r "M" ГД А Е" ГД "№ А r " ? " ГД " " ГД " " r " ч r А ч ПШ \ 


Рг 


(Я заменил непечатаемые символы на «?».) 


Мы видим что первый и третий блоки пустые (или почти пустые), но второй 
и четвертый имеют ясно различимые английские слова/фразы. Похоже что на- 
ше предположение насчет ключа верно (как минимум частично). Это означает, 
что самый встречающийся 81-байтный блок в файле находится в местах лакун 
с нулевыми байтами или что-то в этом роде. 


Попробуем расшифровать весь файл: 


DecryptBlock[blk_] := ВіїХог[ кеу, blk] 
decrypted = Мар [ресгур+В1оск[#] &, blocks]; 
Віпагућгіте [" /һоте/аеппіѕ/.../+тр", Е1аї+еп [аесгурїеа]] 


С1оѕе["/һоте/аӢеппіѕ/.. . /&тр" ] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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ЗЕ-Боок/ десгурі_даї_?і 1еғ/ітр 40117 1620К 2 


Рис. 9.9: Расшифрованный файл в Midnight Commander, первая попытка 


Выглядит как английские фразы для какой-то игры, но что-то не так. Прежде 
всего, регистр инвертирован: фразы и некоторые слова начинаются со строч- 
ных букв, в то время как остальные буквы заглавные. Также, некоторые фразы 
начинаются с не тех букв. Посмотрите на самую первую фразу: «еНЕ WEED ОЕ 
CRIME BEARS BITTER FRUIT». Что такое «еНЕ»? Разве не «tHE» тут должно быть? 
Возможно ли что наш ключ для дешифрования имеет неверный байт в этом ме- 
сте? 


Посмотрим снова на второй блок в файле, на ключ и на результат дешифрова- 
ния: 


Іп[1:= blocks[[2]] 

Ои []= 480, 2, 74, 49, 113, 49, 51, 92, 39, 8, 92, 81, 116, 62, \ 

57, 80, 46, 40, 114, 36, 75, 56, 33, 76, 9, 55, 56, 59, 81, 65, 45, \ 
28, 60, 55, 93, 39, 90, 28, 124, 106, 16, 20, 104, 119, 8, 199, 26, \ 
106, 9, 97, 13, 99, 15, 119, 20, 105, 117, 98, 103, 118, 1, 126, 29, \ 
97, 122, 17, 15, 114, 110, 3, 5, 125, 125, 99, 126, 119, 102, 30, \ 
122, 2, 117} 


Іп[]:= key 
Out[]= 480, 103, 2, 116, 113, 102, 118, 25, 99, 8, 19, 23, 116, \ 
125, 107, 25, 99, 109, 114, 102, 14, 121, 115, 31, 9, 117, 113, 111, \ 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: . Спасибо! 
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5, 4, 127, 28, 122, 101, 8, 110, 14, 18, 124, 106, 16, 20, 104, 119, \ 
8, 109, 26, 106, 9, 97, 13, 99, 15, 119, 20, 105, 117, 98, 103, 118, \ 
І, 126, 29, 97, 122, 17, 15, 114, 110, 3, 5, 125, 125, 99, 126, 119, \ 
102, 30, 122, 2, 117} 


Іп[1:= ВіїХог[Ккеу, Б\1оскѕ [ [211] 

Out[]= 40, 101, 72, 69, 0, 87, 69, 69, 68, 0, 79, 70, 0, 67, 82, \ 
73, 77, 69, 0, 66, 69, 65, 82, 83, 0, 66, 73, 84, 84, 69, 82, 0, 70, \ 
82, 85, 73, 84, 14, 0, 0, 0, 60, 0, 0, о, 0, 0,0, 0, о, 0, 0, 0,0, \ 
о, 0, 0, о, о, о, о, 0, о, 0, о, о, 0, 0©, 0, о, 0 0 0 0, 0, 0, 0, \ 
0, 0, 0, 0} 


Зашифрованный байт это 2, байт из ключа это 103, 20 103 = 101 и 101 это ASCII- 
код символа «е». Чему должен равнятся этот байт ключа, чтобы АЗС!-код был 
116 (для символа «ї»)? 20116 = 118, присвоим 118 второму байту в ключе ... 


Кеу = {80, 118, 2, 116, 113, 102, 118, 25, 99, 8, 19, 23, 116, 125, 
107, 25, 99, 109, 114, 102, 14, 121, 115, 31, 9, 117, 113, 111,5, 
4, 127, 28, 122, 101, 8, 110, 14, 18, 124, 106, 16, 20, 104, 119, 8, 

199, 26, 106, 9, 97, 13, 99, 15, 119, 20, 105, 117, 98, 103, 118, 
1, 126, 29, 97, 122, 17, 15, 114, 119, 3,5, 125, 125, 99, 126, 119, 
192, 30, 122, 2, 117} 


...И снова дешифруем весь файл. 


EELT E о о ао ІНЕ. КЕЕО. OF 


1.КІТНІМ. THE: 
ШШ. АН 


Т.а... С.НІ5 
КМЕ95. co IN НІЅ, РЕЯСЕ. АРРЕЯЮ5.Я. ТЯ5 
ELY. LETTERED: ЯВНУ е ВЕНЫ В оона азиа оосо насо аш ишик аыйл» нир и яга 


Рис. 9.10: Дешифрованный файл в Midnight Commander, вторая попытка 


Ух ты, теперь грамматика корректна, и все фразы начинаются с корректных 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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букв. Но все таки, регистр подозрителен. С чего бы разработчику игры запи- 
сывать их в такой манере? Может быть наш ключ все еще неправилен? 


Изучая таблицу ASCII мы можем заметить что АЗС|-коды для букв в верхнем 
и нижнем регистре отличаются только на один бит (6-й бит, если считать с 
первого, 06100000): 


Рис. 9.11: 7-битная таблица ASCII в Emacs 


6-й бит, выставленный в нулевом байте, В десятичном виде это будет 32. Но 
32 это АЗС!-код пробела! 


Действительно, можно менять регистр просто применяя XOR к А$СН-коду, с 32 
(больше об этом: 3.17.3 (стр. 683)). 


Возможно ли, что пустые лакуны в файле это не нулевые байты, а скорее содер- 
жащие пробелы? Еще раз модифицируем наш ХОВ-ключ (я про-ХОВ-ю каждый 
байт ключа с 32): 


(ж "32" это скаляр, и "key" это вектор, но это ОК *) 


Іп[]:= key3 = ВіїХог[32, key] 

Out[]= 4112, 86, 34, 84, 81, 70, 86, 57, 67, 40, 51, 55, 84, 93, 75, \ 
57, 67, 77, 82, 70, 46, 89, 83, 63, 41, 85, 81, 79, 37, 36, 95, 60, \ 
90, 69, 40, 78, 46, 50, 92, 74, 48, 52, 72, 87, 40, 77, 58, 74, 41, \ 
65, 45, 67, 47, 87, 52, 73, 85, 66, 71, 86, 33, 94, 61, 65, 90, 49, \ 
47, 82, 78, 35, 37, 93, 93, 67, 94, 87, 70, 62, 90, 34, 85} 


Іп[]:= DecryptBlock[blk_] := BitXor[key3, blk] 


И снова дешифруем входной файл: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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¿homeźżdennis/P/RE-book/decrypt_dat_file/tmp3 


Рис. 9.12: Дешифрованный файл в Midnight Commander, последняя попытка 


(Расшифрованный файл доступен здесь: 


.) 


Несомненно, это корректный исходный файл. Да, и мы видим числа в начале 
каждого блока. Должно быть это и есть источник некорректного ХОВ-ключа. 
Как выходит, самый встречающийся 81-байтный блок в файле это блок запол- 
ненный пробелами и содержащий символ «1» на месте второго байта. Действи- 
тельно, как-то так получилось что многие блоки здесь перемежаются с этим 
блоком. Может быть это что-то вроде выравнивания (padding) для коротких 
фраз/сообщений? Другой часто встречающийся 81-байтный блок также запол- 
нен пробелами, но с другой цифрой, следовательно, они отличаются только 
вторым байтом. 


Вот и всё! Теперь мы можем написать утилиту для зашифрования файла назад, 
и, может быть, модифицировать его перед этим 


Файл для Mathematica можно скачать здесь: 


Итог: ХОВ-шифрование не надежно вообще. Вероятно, разработчик игры хотел 
просто скрыть внутренности игры от игрока, ничего более серьезного. Все же, 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: . Спасибо! 
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шифрование вроде этого крайне популярно вследствии его простоты, так что 
многие реверс инженеры обычно хорошо с этим знакомы. 


9.1.5. Простое шифрование используя ХОВ-маску, второй слу- 
чай 


Нашел еще один зашифрованный файл, который явно зашифрован чем-то про- 
стым вроде ХОВ-шифрования: 


поте деппіѕ/ітр/сірһег. txt ЙХИЙЙЙВВВӢ 
Жо 
98088818 
98088826 
ИОВВВӨЗӢ 
ШШДЕ 
ИОВВВӨ5ӣ 
ШШ 7 
ПВОВИВ 76 
ШШ 7 
ИВВӨВВ9В 
11177 
ДД ДШ Л 
ИОВӨВесе 
28098806 
ПВОВИВЕВ 
ПВОВИВЕВ 
08098188 
8088118 
86881286 
98098136 
98088148 
98088158 
98088168 
08088178 
8088186 
8098196 
ИОВӨВ1яв 
8088186 
ИОВӨВ1се 
9808981086 
ИОВӨВ1ЕВ 
ИОВӨВіғв 


Рис. 9.13: Зашифрованный файл в Midnight Commander 


Зашифрованный файл можно скачать 


Утилита ent в Linux сообщает о ~7.5 бит на байт, и это высокий уровень энтро- 
пии ( (стр. )), что близко к сжатому или правильно зашифрованному 
файлу. Но все-таки, мы ясно видим некоторый шаблон, здесь есть блоки дли- 
ной в 17 байт, и вы можете увидеть что-то вроде лестницы, сдвигающиеся на 
1 байт на каждой 16-байтной линии. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: . Спасибо! 
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Также известно, что исходный текст это текст на английском языке. 


Предположим что этот фрагмент текста зашифрован простым ХОВ-шифрованием 
с 17-байтным ключом. 


Я попробовал поискать повторяющиеся 17-байтные блоки при помощи Mathematica, 
как я делал это в моем предыдущем примере (9.1.4 (стр. 1177)): 


Листинг 9.3: Mathematica 


Іп[] :=іприї = ВіпагуВеааі іѕ+[" /Һоте/деппіѕ/ Етр/сірһег. хі" ]; 
In[]:=blocks = Рагііїіоп[іприї, 17]; 
In[]:=Sort[Tally[blocks], #1[[2]] > #2[[2]] &] 


Out[] :={{{248,128,88,63,58,175,159,154,232,226,161,50,97,127,3,217,80},1}, 
{{226,207,67,60,42,226,219, 150,246, 163,166,56,97,101,18,144,82},1}, 
{{228,128,79,49,59,250, 137, 154, 165,236, 169,118,53,122,31,217,65},1}, 
{{252,217,1,39,39,238,143,223,241,235,170,91,75,119,2,152,82},1}, 
{{244,204,88,112,59,234,151,147,165,238,170,118,49,126,27,144,95},1}, 
{{241,196,78,112,54,224,142,223,242,236,186,58,37,50,17,144,95},1}, 
{{176,201,71,112,56,230,143,151,234,246,187,118,44,125,8,156,17},1}, 


{{255,206,82,112,56,231,158,145,165,235,170,118,54,115,9,217,68},1}, 
{{249,206,71,34,42,254, 142, 154,235,247,239,57,34,113,27,138,88},1}, 
{{157,170,84,32,32,225,219,139,237,236, 188,51,97,124,21,141,17},1}, 
{{248,197,1,61,32,253,149,150,235,228,188,122,97,97,27,143,84},1}, 

{{252,217,1,38,42,253,130,223,233,226,187,51,97,123,20,217,69},1}, 

{{245,211,13,112,56,231,148,223,242,226,188,118,52,97,15,152,93},1}, 
{{221,210,15,112,28,231,158,141,233,236,172,61,97,90,21,149,92},1}} 


Ничего не выходит, каждый 17-байтный блок уникален внутри файла и встре- 
чается только один раз. Возможно, здесь нет 17-байтных нулевых лакун (или 
лакун содержащих пробелы). Это действительно возможно: подобное вырав- 
нивание пробелами может и отсутствовать в плотно сверстаном тексте. 


Первая идея это попробовать все возможные 17-байтные ключи и найти тот, 
который после дешифровки приведет к читаемому тексту. Полный перебор 
брутфорсом это не вариант, потому что здесь 25617 возможных ключей (~10*0), 
это слишком. Но есть и хорошие новости: кто сказал что нужно тестировать 
17-байтный ключ как что-то целое, почему мы не можем тестировать каждый 
байт ключа отдельно? Это действительно возможно. 


И алгоритм такой: 
• попробовать все 256 байт для первого байта ключа; 
• дешифровать первый байт каждого 17-байтного блока в файле; 
• все ли полученные дешифрованные байты печатаемы? вести учет; 
• делать это для всех 17 байт ключа. 


Я написал такой скрипт на Питоне для проверки этой идеи: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Листинг 9.4: Python script 


еасһ_Мїһ_һуте=[""]*КЕҮ_ ГЕМ 


content=read_file(sys.argv[1]) 
# split input by 17-byte chunks: 
all_chunks=chunks (content, КЕҮ LEN) 
for c in all_chunks: 
for i in range(KEY LEN): 
each_Nth_byte[i]=each_Nth_byte[i] + c[i] 


# try each byte of key 
for N in range(KEY LEN): 
print "N=", N 
possible _keys=[] 
for i in range(256): 
tmp_key=chr(i)x»len(each_Nth_byte[N]) 
tmp=xor_strings(tmp_key,each_Nth_byte[N]) 
# are all characters in tmp[] are printable? 
if is_string_printable(tmp)==False: 


continue 
possible Кеуѕ.аррепа(1) 
print possible keys, "len=", len(possible_keys) 


(Полная версия исходного кода здесь.) 


И вот вывод: 


№ 0 

[144, 145, 151] 1еп= 3 
М= 1 

[160, 161] 1еп= 2 
М= 2 

[32, 33, 38] 1еп= 3 
№ 3 

[80, 81, 87] 1еп= З 
№ 4 

[78, 79] 1еп= 2 

№ 5 

[142, 143] 1еп= 2 
№= 6 

[250, 251] 1еп= 2 
М= 7 

[254, 255] 1еп= 2 
№ 8 

[130, 132, 133] 1еп= З 
№= 9 

[130, 131] 1еп= 2 
N= 10 

[206, 207] 1еп= 2 
№ 11 

[81, 86, 87] 1еп= 3 
№ 12 

[64, 65] 1еп= 2 

N= 13 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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[18, 19] 1еп= 2 
№ 14 

[122, 123] 1еп= 2 
№ 15 

[248, 249] 1еп= 2 
N= 16 

[48, 49] 1еп= 2 


Так что есть 2 или З возможных байта для каждого байта 17-байтного ключа. 
Это намного лучше чем 256 возможных байт для каждого ключа, но все равно 
слишком. Тут вплоть до одного миллиона возможных ключей: 


Листинг 9.5: Mathematica 


Іп[]:= 3ж2ж3ж3ж2ж2ж2ж2ж3ж2ж2ж3ж2ж2ж2ж2ж2 
Ои []= 995328 


Можно проверить их все, но затем нам придется проверять визуально, похож 
ли дешифрованный текст на текст на английском языке. 


Также будем учитывать те факты, что мы имеем дело с 1) человеческим язы- 
ком; 2) английским языком. Человеческие языки имеют выдающиеся статисти- 
ческие особенности. Прежде всего, пунктуация и длины слов. Какая средняя 
длина слова в английском языке? Просто будем считать пробелы в некоторых 
хорошо известных текстах на английском используя Mathematica. 


Вот текст is «The Complete Works of William Shakespeare» из библиотеки Гутен- 
6epra: 


Листинг 9.6: Mathematica 


In[]:= input = ВіпагуВеааі 151 [" /һоте/деппіѕ/+тр/рд100.1хї"]; 


Іп[1:= Tally[input] 
Out[]= 44239, 1}, {187, 1}, 4191, 1}, +84, 39878}, 4104, 

218875}, 4101, 406157}, {32, 1285884}, {80, 12038}, 4114, 

209907}, 4111, 282560}, {106, 2788}, {99, 67194}, {116, 

291243}, 471, 11261}, {117, 115225}, 1110, 216805}, 498, 

46768}, 4103, 57328}, {69, 42703}, {66, 15450}, {107, 29345}, {102, 

69103}, {67, 21526}, {109, 95890}, {112, 46849}, {108, 146532}, {87, 
16508}, {115, 215605}, {105, 199130}, {97, 245509}, {83, 

34082}, 444, 83315}, {121, 85549}, {13, 124787}, {10, 124787}, {119, 
73155}, {100, 134216}, {118, 34077}, {46, 78216}, 189, 9128}, 445, 

8150}, {76, 23919}, {42, 73}, {79, 33268}, {82, 29040}, {73, 

55893}, {72, 18486}, {68, 15726}, 158, 1843}, {65, 44560}, {49, 

982}, {50, 373}, +448, 325}, {91, 2076}, +35, 3}, {93, 2068}, 474, 
2071}, {57, 966}, 452, 197}, 470, 11770}, {85, 14169}, 178, 

27393}, 475, 6206}, 177, 15887}, 1120, 4681}, {33, 8840}, {60, 

468}, 486, 3587}, {51, 343}, {88, 608}, {40, 643}, 441, 644}, {62, 

440}, 439, 31077}, {34, 488}, {59, 17199}, 4126, 1}, 495, 71}, {113, 
2414}, {81, 1179}, {63, 10476}, {47, 48}, {55, 45}, {54, 73}, {64, 

3}, +453, 94}, {56, 47}, 4122, 1098}, 490, 532}, {124, 33}, {38, 

21}, 496, 1}, 4125, 2}, {37, 1}, 436, 2} 
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Іп[]:= Length[input]/1285884 // N 
Out[]= 4.34712 


Тут 1285884 пробела во всем файле, и распространение пробелов это один 
пробел на ~4.3 символов. 


Теперь вот Аіісе'ѕ Adventures іп Wonderland, Бу Lewis Carroll из той же библио- 
теки: 


Листинг 9.7: Mathematica 


In[]:= input = ВіпагуВеааі 151 [" /һоте/деппіѕ/тр/рд911.1хї"]; 

Іп[1:= Tally[input] 

Out[]= 44239, 1}, {187, 1}, {191, 1}, +80, 172}, {114, 6398}, 4111, 
9243}, {106, 222}, {101, 15082}, 499, 2815}, {116, 11629}, 432, 
27964}, {71, 193}, 4117, 3867}, +4110, 7869}, {98, 1621}, {103, 
2750}, {39, 2885}, 4115, 6980}, {65, 721}, {108, 5053}, 1105, 
7802}, {100, 5227}, {118, 911}, {87, 256}, {97, 9081}, 144, 

2566}, {121, 2442}, 176, 158}, {119, 2696}, {67, 185}, 113, 

3735}, {10, 3735}, {84, 571}, {104, 7580}, {66, 125}, 4107, 

1202}, {102, 2248}, {109, 2245}, {46, 1206}, {89, 142}, {112, 
1796}, {45, 744}, {58, 255}, {68, 242}, {74, 13}, {50, 12}, 453, 
13}, 4148, 22}, {56, 10}, {91, 4}, {69, 313}, {35, 1}, 449, 68}, 493, 
4}, 482, 212}, 4177, 222}, {57, 11}, 452, 10}, 442, 88}, {83, 

288}, 479, 234}, {70, 134}, {72, 309}, {73, 831}, 485, 111}, 478, 
182}, 175, 88}, {86, 52}, {51, 13}, 463, 202}, {40, 76}, +41, 

76}, +459, 194}, +433, 451}, {113, 135}, {120, 170}, 490, 1}, 4122, 
79}, 434, 135}, {95, 4}, {81, 85}, {88, 6}, {47, 24}, 455, 6}, +54, 
7}, +437, 1}, {64, 2}, 436, 2}} 


In[]:= Length[input]/27964 // N 
Out[]= 5.99049 


Результат другой, вероятно потому что используется разное форматирование 
этих текстов (может быть из-за выравнивания и отступов). 


ОК, будем считать что средняя частота появления пробела в английском тек- 
сте это 1 пробел на 4..7 символов. 


И снова хорошие новости: мы можем измерять частоту пробелов во время по- 
степенного дешифрования файла. Теперь я считаю пробелы в каждом ломтике 
и выкидываю 1-байтные ключи, которые приводят к результатам со слишком 
малым количеством пробелов (или слишком большим, но это почти невозмож- 
но учитывая такой короткий ключ): 


Листинг 9.8: Python script 


еасһ_Мїһ_һуте=[""]*КЕҮ_ ГЕМ 


content=read_file(sys.argv[1]) 
# split input by 17-byte chunks: 
all_chunks=chunks (content, КЕҮ LEN) 
for c in all_chunks: 

for i in range(KEY LEN): 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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1191 


each_Nth_byte[i]=each_Nth_byte[i] + с[і] 


# try each byte о? key 
for N in range(KEY LEN): 
print "N=", N 
possible _keys=[] 
for i in range(256): 


tmp_key=chr(i)xlen(each_Nth_byte[N]) 
tmp=xor_strings(tmp_key,each_Nth_byte[N]) 
# are all characters in tmp[] are printable? 
if is_string_printable(tmp)==False: 
continue 
# count spaces in decrypted buffer: 
spaces=tmp.count(' ') 
if spaces==0: 
continue 
spaces_ratio=len(tmp)/spaces 
if spaces_ratio<4: 
continue 
if spaces_ratio>7: 
continue 
possible _keys.append(i) 


print possible keys, "len=", 1еп(роѕѕір1е keys) 


(Полная версия исходного кода здесь.) 


Это выдает всего один возможный байт для каждого байта ключа: 


№ 0 

[144] 1еп= 1 
№ 1 

[160] 1еп= 1 
№ 2 

[33] 1еп= 1 

N= 3 

[80] 1еп= 1 

№ 4 

[79] 1еп= 1 

№ 5 

[143] 1еп= 1 
№ 6 

[251] 1еп= 1 
№ 7 

[255] 1еп= 1 
№ 8 

[133] 1еп= 1 
N= 9 

[131] 1еп= 1 
N= 10 

[207] 1еп= 1 
№ 11 

[86] 1еп= 1 

№ 12 

[65] 1еп= 1 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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№= 13 

[18] 1еп= 1 
№ 14 

[122] 1еп= 1 
N= 15 

[249] 1еп= 1 
N= 16 

[49] 1еп= 1 


Проверим этот ключ в Mathematica: 


Листинг 9.9: Mathematica 


Іп[]:= input = ВіпагуВеаагіѕі [" /Һоте/деппіѕ /Етр/сірһег. хі" ]; 


In[]:= blocks = Рагїііїіоп [іприї, 17]; 


Іп[]:= key = {144, 160, 33, 80, 79, 143, 251, 255, 133, 131, 207, 86, 65, р 
S 18, 122, 249, 49}; 


Іп[1: 


EncryptBlock[blk_] := ВіїХог[Ккеу, blk] 
Іп[]:= encrypted = Мар[ЕпсгурїВ\оск[#] &, blocks]; 


Іп[1:= Віпагуйгіе[" /һоте/деппіѕ/тр/р1аіп2.1хї", Flatten[encrypted]] 


Іп[1:= Close["/home/dennis/tmp/plain2.txt"] 


И дешифрованный текст: 


Мг. Sherlock Holmes, who was usually very late іп the mornings, save 
upon those not infrequent occasions when he was up all night, was seated 
at the breakfast table. I stood upon the hearth-rug and picked up the 
stick which our visitor had left behind him the night before. It was a 
fine, thick piece of wood, bulbous-headed, of the sort which is known as 
a "Penang lawyer." Just under the head was a broad silver band nearly 

an inch across. "To James Mortimer, M.R.C.S., from his friends of the 
C.C.H.," was engraved upon it, with the date "1884." It was just such a 
stick as the old-fashioned family practitioner used to carry--dignified, 
solid, and reassuring. 


"Well, Watson, what do you make of it?" 


Holmes was sitting with his back to me, and I had given him no sign of 
my occupation. 


(Полная версия текста здесь.) 


Текст выглядит правильным. Да, я придумал этот пример и выбрал хорошо 
известный текст Конан Дойля, но это очень близко к тому, что у меня недавно 
было на практике. 
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Другие идеи 


Если бы не получилось с подсчетом пробелов, вот еще идеи, которые можно 
было бы попробовать: 


• Учитывать тот факт что буквы в нижнем регистре встречаются намного 
чаще, чем в верхнем. 


• Частотный анализ. 


• Есть очень хорошая техника для определения языка текста: триграммы. 
Каждый язык имеет часто встречающиеся тройки буквы, для английского 
это могут быть «the» и «tha». Больше об этом: №М-Сгат-Ваѕеа Text Categorization, 
Тер: //сойе.асіімеѕ+аїе. сот/ гесіреѕ/326576/. Интересно знать, что Bbl- 
явление триграмм может быть использовано при постепенном дешифро- 
вании текста, как в этом примере (нужно просто проверять З рядом стоя- 
щих дешифрованных символа). 


Для систем письменности отличных от латинского алфавита, закодиро- 
ванных в ЧТЕ-8, все может быть еще проще. Например, в тексте на pyc- 
ском, закодированном в UTF-8, каждый байт перемежается с байтом 0хро 
или 0х01. Это потому что символы кириллицы расположен в 4-м блоке в 
таблице Уникода. Другие системы письменности имеют свои блоки. 


9.1.6. Домашнее задание 


Очень древняя текстовая игра под MS-DOS конца 80-х. Чтобы скрыть инфор- 
мацию об игре от игрока, файлы данных, скорее всего, чем-то про-ХОВ-ены: 
ћ1рѕ : //Бед1ппег$ . ге/Потемогк/ХОВ crypto 1/destiny.zip. Попробуйте разо- 
браться... 


9.2. Информационная энтропия 


Entropy: The quantitative measure of 
disorder, which in turn relates to the 
thermodynamic functions, temperature, and 
heat. 


Dictionary of Applied Math for Engineers and 
Scientists 


Ради упрощения, я бы сказал, что информационная энтропия это Mepa, Ha- 
сколько хорошо можно сжать некоторый блок данных. Например, обычно нель- 
зя сжать файл, который уже был сжат, так что он имеет высокую энтропию. С 
другой стороны, 1МІВ нулевых байт можно сжать в крохотный файл на выходе. 
Действительно, в обычном русском языке, один миллион нулей можно описать 
просто как “в итоговом файле 1 миллион нулевых байт”. Сжатые файлы это 
обычно список инструкций для декомпрессора вроде “выдай 1000 нулей, по- 
том байт 0х23, потом байт 0х45, потом выдай блок длиной в 10 байт, который 
мы видели 500 байт назад, ит. д.” 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Тексты, написанные на натуральных языках, также легко могут быть сжаты, 
по той причине что в натуральных языках очень много избыточности (иначе 
мелкая опечатка могла бы привести к непониманию, так, как любой перевер- 
нутый бит в сжатом архиве приводит к невозможности декомпрессии), неко- 
торые слова используются чаще, и т. д. Из обычной ежедневной речи можно 
выкидывать вплоть до половины слов, и всё еще можно будет что-то понять. 


Код для СРО тоже может быть сжат, потому что некоторые инструкции в ISA nC- 
пользуются чаще других. В х86 самые используемые инструкции, это MOV/PUSH/CALL 
(5.11.2 (стр. 938)). 


Компрессоры данных и шифры выдают результаты с очень большой энтропией. 
Хорошие ГПСЧ также выдают данные, которые нельзя сжать (по этому призна- 
ку можно измерять их качество). 


Так что, другими словами, энтропия это мера, которая может помочь узнать 
содержимое неизвестного блока данных. 


9.2.1. Анализирование энтропии в Mathematica 


(Эта часть впервые появилась в моем блоге 13-May-2015. Обсуждение: https: 
/ /пемѕ . усотб1патог. сот/1ет?149=9545276.) 


Можно нарезать файл на блоки, подсчитать энтропию для каждого и постро- 
ить график. Я сделал это в Wolfram Mathematica для демонстрации, и вот NC- 
ходный код (Mathematica 10): 


(ж loading the file ж) 
input=BinaryReadList["file.bin"]; 


(ж setting block sizes ж) 
BlockSize=4096;BlockSizeToShow=256; 


(ж slice blocks by 4k ж) 
blocks=Partition[input,BlockSize]; 


(ж how many blocks we've got? ж) 
Length[blocks] 


(ж calculate entropy for each block. 2 in Entropy[] (base) is set with the / 
4 intention so Entropy[] 

function will produce the same results as Linux ent utility does *) 

entropies=Map[N[Entropy[2,#]]&, blocks]; 


(x helper functions *) 

fBlockToShow[input_,offset_]:=Take[input,{1+offset,1+offset+BlockSizeToShow? 
S H 

fToASCII[val_]:=FromCharacterCode[val,"PrintableASCII"] 

fToHex[val_]:=IntegerString[val,16] 

fPutASCIIWindow[data_]:=Framed[Grid[Partition[Map[fToASCII,data],16]]] 

fPutHexWindow[data_]:=Framed[Grid[Partition[Map[fToHex,data],16],Alignment 2 
S —>Right]] 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


1195 


(ж that will Бе the main knob here ж) 
{Slider [Dynamic[offset],{0,Length[input]-BlockSize,BlockSize}],Dynamic[ 2 
S BaseForm[offset,16]]} 


(ж main UI part ж) 

Dynamic[{ListLinePlot[entropies,GridLines->{{-1,0offset/BlockSize,1}}, z 
4 Filling->Axis,AxesLabel->{"offset","entropy"}], 

CurrentBlock=fBlockToShow[input,offset]; 

fPutHexWwindow[CurrentBlock], 

fPutASCIIWindow[CurrentBlock]}] 


База GeolP 15Р“ 


Начнем с файла GeolP (в котором информация об ISP для каждого блока IP- 
адресов). Бинарный файл GeolPISP.dat имеет какие-то таблицы (вероятно, NH- 
тервалы ІР-адресов) плюс какой-то набор текстовых строк в конце файла (со- 
держащий названия 15Р). 


Когда загружаю его в Mathematica, вижу такое: 


ї{68]= (+ that w 1 Бе the main knob here + 


{Slider [Dynamic[offset], {0, Length[input] - BlockSize, BlockSize}] 


Ош{6в]= | ‚ 70001} 


11{59]:= (+ main UI part + 
Dynamic[{ListLinePlot[entropies, GridLines э {{-1, offset /BlockSiz 
CurrentBlock = fBlockToShow [input, offset]; 


fPutHexklindow [CurrentBlock] , fPutASCIIWindow [CurrentBlock] }] 


entropy 


Ош{59]= 4 


1 а А И 1 
0 200 400 


41пїегпеї Service Provider 
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10 50 50 50 паппуппппйппппппїпп 
5 0 10 10 10 уооооооооооооооро 
50 6 0 4 0 40 уоооо1 ооо, Обауосо 
10 10 4 0 10 ооо пппаүпппппп 
4 0 10 о 6 0 УСО ООО ОО О = ооговоро 
10 2 0 1 0 1 0 оооооооооооо ооо 
6 0 о 4 0 4 0 иппппЕппп,пппппп 
10 10 4 0 5 0 оооооооово , оооовоо|һ 
50 6 0 1 0 1 0 оооооооооосоо , ооо]; 
10 10 о 2o ппппппппе:ппппппп 
10 10 60 10 ппппппппеппппппп 
10 10 6 0 6 0 ooonoooo0oo0on0no0o0Cc0005 00 
6 0 6 0 1 0 14 0 огоо рппппппткпп 
10 10 о 4 0 оооооооооооово , 00 
6 0 50 10 ео (ооооооооооокооо 
10 10 10 10 оооо + ооо попео са 


В графике две части: первая, в каком-то смысле, хаотичная, вторая более ров- 
ная. 


0 в вертикальной оси графика означает самый низкий уровень энтропии (дан- 
ные, которые можно сжать очень сильно, упорядоченные другими словами) и 
8 это самый высокий (нельзя сжать вообще, хаотичные или случайные други- 
ми словами). Почему 0 и 8? 0 означает 0 бит на байт (байт как контейнер не 
заполнен вообще) и 8 означает 8 бит на байт, т.е., весь байт (как контейнер) 
плотно заполнен информацией. 


Когда я двигаю слайдер в место в середине первого блока, то ясно вижу неко- 
торый массив из 32-битных целочисленных значений. Потом я сдвигаю слай- 
дер в середину второго блока и вижу текст на английском: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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11{63]:= (+ that will Бе the main knob here +) 
{Slider [Dynamic[offset], {0, Length[input] - BlockSize, BlockSize}] 


r 3 


Outjesj | ‚ 26d000;6 ‚ 


11{59]:= (+ main UI part + 
Dynamic[{ListLinePlot[entropies, GridLines э {{-1, offset /BlockSiz 
CurrentBlock = fBlockToShow [input, offset]; 
fPutHexWindow [CurrentBlock] , fPutASCIIWindow [CurrentBlock]}] 


entropy 


Ош[59]= 4 
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Действительно, это названия ISP. Так что, энтропия английского текста это 
4.5-5.5 бита на байт? Да, что-то в этом роде. В Wolfram Mathematica есть встро- 
енный корпус хорошо известной английской литературы, и мы можем посмот- 
реть энтропию шейкспировских соннетов: 


Іп[]:= Епїгору[2, Ехатр1ерата[{ "Техї" ‚ "ЅћһакеѕреагеѕЅоппеї5"}]]//№ 
Ои [1= 4.42366 


4.4 это близко к тому, что мы получили (4.7-5.3). Конечно, классическая англий- 
ская литература немного отличается от названий ISP и других английских TEK- 
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стов, которые мы можем найти в бинарных файлах (отладочные сообщения, 
сообщения об ошибках), но это значение близко. 


Прошивка TP-Link WR941 


Следующий пример. Вот прошивка от роутера TP-Link WR941: 


Мы тут видим 3 блока с пустыми лакунами. Затем, первый блок с большой эн- 
тропией (начиная с адреса 0) маленький, второй (с адресом где-то на 0х22000) 
больше и третий (адрес 0х123000) самый большой. Не уверен насчет точного 
уровня энтропии первого блока, но второй и третий имеют большой уровень, 
означая что эти блоки или сжаты и/или зашифрованы. 


Я попробовал binwalk для этого файла с прошивкой: 


DECIMAL HEXADECIMAL DESCRIPTION 
М 

0 0x0 TP-Link firmware header, firmware version: к 
ъ 0.-15221.3, image version: "", product ID: 0х0, product version: 7 
155254789, kernel load address: 0x0, kernel entry point: 0x-7FFFE000, 2 
< kernel offset: 4063744, kernel length: 512, rootfs offset: 837431, / 
$ rootfs length: 1048576, bootloader offset: 2883584, bootloader length/z 
S: 0 

14832 0x39F0 U-Boot version string, "U-Boot 1.1.4 (Jun 27 2 
$ 2014 - 14:56:49)" 

14880 0x3A20 CRC32 polynomial table, big endian 

16176 0x3F30 иІтаде header, header size: 64 bytes, header / 
ъ CRC: 0x3AC66E95, created: 2014-06-27 06:56:50, image size: 34587 / 
S bytes, Data Address: 0х80010000, Entry Point: 0x80010000, data CRC: 0/2 
S ХОР20ВАОВ, 05: Linux, CPU: MIPS, image type: Firmware Image, / 
„ compression type: lzma, image пате: "и-роої image" 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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16240 0x3F70 LZMA compressed data, properties: 0x5D, / 
< dictionary size: 33554432 bytes, uncompressed size: 90000 bytes 
131584 0x20200 TP-Link firmware header, firmware version: к 
4 0.0.3, image version: "", product ID: 0х0, product version: и 


S 155254789, kernel load address: 0x0, kernel entry point: 0x-7FFFE000, 7 
< kernel offset: 3932160, kernel length: 512, rootfs offset: 837431, 2 
$ rootfs length: 1048576, bootloader offset: 2883584, bootloader 1епдіїһ 2 


S: 0 
132096 0x20400 LZMA compressed data, properties: 0x5D, / 

s dictionary size: 33554432 bytes, uncompressed size: 2388212 bytes 
1180160 0x120200 Squashfs filesystem, little endian, version и 


S 4.0, compression:lzma, size: 2548511 bytes, 536 inodes, blocksize: к 
S 131072 bytes, created: 2014-06-27 07:06:52 


Действительно: в начале есть что-то, но два больших блока сжатых LZMA Ha- 
чинаются на 0х20400 и 0х120200. Это примерно те же адреса, что мы видим в 
Mathematica. И кстати, біпмаік тоже может показывать информацию об энтро- 
пии (опция -Е): 


DECIMAL HEXADECIMAL ENTROPY 
ы 

0 0х0 Falling entropy edge (0.419187) 
16384 0x4000 Rising entropy edge (0.988639) 

51200 0xC800 Falling entropy edge (0.000000) 
133120 0x20800 Rising entropy edge (0.987596) 

968704 0хЕС800 Falling entropy edge (9.508720) 
1181696 0x120800 Rising entropy edge (0.989615) 

3727360 0x38E000 Falling entropy edge (0.732390) 


Передние фронты соответствуют передним фронтам блока на нашем графе. 
Задние фронты соответствуют местам, где начинаются пустые лакуны. 


Віпмаік также может генерировать графики в РМС (-Е -Ј): 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Что можно сказать о лакунах? Глядя в бинарном редакторе, мы видим что они 
просто заполнены байтами ОхЕЕ. Зачем разработчики оставили эти места? Be- 
роятно, потому что они не могли рассчитать точные размеры сжатых блоков, 
так что они выделили место с запасом. 


Notepad 


Еще один пример это notepad.exe, который я взял из Windows 8.1: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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h 


that wi here +) 


In{72):= ill be the main knob 


{Slider [Dynamic[offset], {0, Length[input] - BlockSize, BlockSize}], 


Ошп2Е Í А 190002) 


sort reverse = [E] 


11{59]:= (+ main UI part +) 
Dynamic[{ListLinePlot[entropies, GridLines > {{-1, offset /BlockSiz 
CurrentBlock = fBlockToShow [input, offset]; 
fPutHexWindow [CurrentBlock] , fPutASCIIWindow [CurrentBlock]}] 


entropy 


8 
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а Он н оооооот! 


Имеется углубление на ғ 0219000 (абсолютное смещение в файле). Я открыл 
этот исполняемый файл в шестнадцатеричном редакторе и нашел там таблицу 
импортов (которая имеет уровень энтропии ниже, чем код х86-64 code в первой 
половине графика). 


Имеется также блок с высоким уровнем энтропии, начинающийся на ~ 0520000: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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11[72]:= (+ that will be the main knob here + 
{Slider [Dynamic[offset], {0, Length[input] - BlockSize, BlockSize}]_ 


ош ! ‚ 200003} 


i 


sort reverse =; 


11{59]:= (+ main ОТ part +) 
Рупањіс { {115+1іпеР1о+ [епігоріеѕ, GridLines -› {{-1, offset /BlockSiz 
CurrentBlock = fBlockToShow [input, offset]; 
fPutHexWindow [CurrentBlock] , fPutASCIIWindow [CurrentBlock]}] 


entropy 


8 


8 


0459] = 4 


м 


00000101 : 0 030w~> 
ооооомо } 00700040 
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В шестнадцатеричном редакторе можно найти там РМС-файл, вставленный в 
секцию ресурсов РЕ-файла (это большое изображение иконки по*ерад-а). Дей- 
ствительно, РМС-файлы ведь сжаты. 


Безымянный видеорегистратор 


Теперь самый продвинутый пример в этой части это прошивка от какого-то 
безымянного видеорегистратора, которую мне прислал друг: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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11{63]:= (+ that will be the main knob here + 


{Slider [Dynamic[offset], {0, Length[input] - BlockSize, BlockSize}], 


ошуезј | f 3400016} 


pha, 
sort reverse ( ы E] 


In59]:= (+ main UI part +) 
Dynamic [{ListLinePlot[entropies, GridLines > {{-1, offset / В1оск$1 2 
CurrentBlock = fBlockToShow [input, offset]; 


fPutHexWindow [CurrentBlock] , fPutASCIIWindow [CurrentBlock]}] 


entropy 

2.0 

Б 

7.0 
Outjssj 16.5 

во 

5.5 

5.0 

Е АЕА Е ЕЕ, СНЕ 

0 100 200 з00 400 500 600 
44 51 53 50 49 5f 46 57 32 0 0 0 53 45 4d 49| 2 _5РТ_ЕИЗ2ОООЗЕМТ 
44 5f 53 50 49 5Е 46 57 33 0 О О 53 45 4а 49| |0 _ЗРТ_ЕИЗОООЗЕМТ 
44 51 53 50 49 5Е 50 53 0 0 О О 53 45 4а 49| |0 _ЗРТ_РЗООООЗЕМГ 
44 51 53 50 49 5f 50 53 32 0 0 053 45 4а 49| |0 _5РТ_Р520О0ООЗЕМТ 
44 5f 53 50 49 5Е 50 53 33 0 О О 53 45 4а 49| |0 _ЗРТ_РЗЗОООЗЕМТ 
44 5f 53 50 49 5f 46 41 54 0 О 0 53 45 4а 49| |0 _ 5 РТ_ЕАТОООЗЕМТ 
44 51 53 50 49 5f 46 41 54 32 0 053 45 4d 49| |0 _5РТ_ЕАТЗООЗЕМТ 
44 5f 53 50 49 5f 46 41 54 33 0 0 5e 52 25 73| |D_SPI_FAT300^R% sh 
За За 25 73 28 29 За 25 64 2d 45 52 52 За 20 25| яз () : за-вЕввв: #| 
73 За 20 53 65 бе 4d 6f 64 65 28 25 64 29 20 6ї| |з зепмоае (жа) о 
75 74 20 6f 66 20 72 61 6e 67 65 21 21 21 а а |ыс оғ range::: 
о о о 041 52 30 33 33 30 0 0 5e 52 25 7з3||ппппАакоззопп^к*з 
За За 25 73 28 29 За 25 64 24 45 52 52 За 20 45 zs () :а-ЕВВ: Е 
72 72 6f 72 20 74 72 61 6e 73 ба 69 74 20 64 61| |= гог transmit аа 
74 61 20 28 77 72 69 74 65 20 61 64 64 72 29 21| а (write addr)! 
21 а а обе 52 25 73 За За 25 73 28 29 За 25 оО^вЕз:: #3 () :% 


Спад в самом начале это текст на английском: отладочные сообщения. Я попро- 
бовал разные ISA и нашел, что первая треть всего файла (с сегментом текста 
внутри) это на самом деле код для MIPS (little-endian). 


Например, это очень заметный эпилог ф-ции в МР5-коде: 


ROM: 000013В0 move $sp, $fp 

ROM: 00001384 1м $га, 0х1С(%$5р) 
КОМ: 00001388 м $fp, 0х18($5р) 
ROM: 000013ВС 1м $51, 0х14($5р) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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ROM: 000013С0 lw $s0, 0x10($sp) 
ROM: 000013C4 jr $ra 
ROM: 000013C8 addiu $sp, 0x20 


Из нашего графика мы видим, что энтропия кода для MIPS 5-6 бит на байт. 
Действительно, я измерил энтропию кода для различных ISA и получил такие 
значения: 


e x86: секция .text в файле ntoskrnl.exe из Windows 2003: 6.6 

e x64: секция .text в файле ntoskrnl.exe из Windows 7 x64: 6.5 

• ARM (режим thumb), Angry Birds Classic: 7.05 

* ARM (режим ARM) Linux Kernel 3.8.0: 6.03 

• MIPS (little endian), секция .text файла user32.dll из Windows NT 4: 6.09 


Энтропия исполняемого кода выше чем у текста на английском, но всё равно 
можно сжимать. 


Теперь вторая треть, начинающаяся с ОхЕ5000. Я не знаю, что это. Пробовал 
различные ISA без всякого успеха. Энтропия этого блока выглядит ровнее, чем 
у блока с исполняемым кодом. Может это какие-то данные? 


Имеется также всплеск на ~ 02213000. Я посмотрел на это место в бинарном 
редакторе и нашел ЈРЕС-файл (который, конечно же, сжат)! Также, я не знаю, 
что находится в конце. Попробуем Binwalk на этом файле: 


% binwalk ҒМ96650А. біп 


DECIMAL HEXADECIMAL DESCRIPTION 
Ж 

167698 0x28F12 Unix path: /15/20/24/25/30/60/120/240fps can 2 
be served.. 

280286 0x446DE Copyright string: "Copyright (с) 2012 Моуафек/ 
4 Microelectronic Corp." 

2169199 0x21196F JPEG image data, JFIF standard 1.01 

2300847 0x231BAF MySQL MISAM compressed data file Version 3 


% binwalk -E FW96650A.bin 


DECIMAL HEXADECIMAL ENTROPY 
S 

0 0х0 Falling entropy edge (0.579792) 
2170880 0x212000 Rising entropy edge (0.967373) 
2267136 0x229800 Falling entropy edge (0.802974) 
2426880 0x250800 Falling entropy edge (0.846639) 
2490368 0x260000 Falling entropy edge (0.849804) 
2560000 0x271000 Rising entropy edge (0.974340) 
2574336 0x274800 Rising entropy edge (0.970958) 
2588672 0x278000 Falling entropy edge (0.763507) 
2592768 0x279000 Rising entropy edge (0.951883) 
2596864 0х27А000 Falling entropy edge (0.712814) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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2600960 0х278000 Rising entropy edge (0.968167) 
2607104 0x27C800 Rising entropy edge (0.958582) 
2609152 0x27D000 Falling entropy edge (0.760989) 
2654208 0x288000 Rising entropy edge (0.954127) 
2670592 0x28C000 Rising entropy edge (0.967883) 
2676736 0х280800 Rising entropy edge (0.975779) 
2684928 0x28F800 Falling entropy edge (0.744369) 


Да, она нашла ЈРЕС-файл и даже данные для MySQL! Но я не уверен что это 
правда — пока не проверял. 


Также интересно попробовать кластеризацию в Mathematica: 


1{64]:= (+ le з аке а 5 ste 
ListPlot[FindClusters [entropies] ] 


. . И 
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Это пример, как Mathematica группирует различные значения энтропии в раз- 
личимые группы. Действительно, похоже на правду. Синие точки в районе 5.0- 
5.5, вероятно относятся к тексту на английском. Желтые точки в 5.5-6 это код 
для MIPS. Множество зеленых точек в 6.0-6.5 это неизвестная вторая треть. 
Оранжевые точки близкие к 8.0 относятся к сжатому ЈРЕС-файлу. Другие оран- 
жевые точки, видимо, относятся к концу прошивки (неизвестные для нас дан- 
ные). 


Ссылки 


Бинарные файлы, которые использовались в этой части: 

НЕЕрз: //Бед1ппег$ . ге/раума1 1 /КЕДВ- зоигсе/ сиггепт - {гее/ /ТТ/епЕгору/Т11е5/. 
Файл для Wolfram Mathematica: 
https://beginners.re/paywall/RE4B-source/current-tree//ff/entropy/files/ 
binary_file_entropy.nb 

(все ячейки должны быть в начале проинициализированы, чтобы всё начало 
работать). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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9.2.2. Вывод 


Информационная энтропия может использоваться как простой метод для быст- 
рого изучения неизвестных бинарных файлов. В частности, это очень быстрый 
способ найти сжатые/зашифрованные фрагменты данных. Кто-то говорит, что 
так же можно находить открытые/закрытые ключи RSA? (и для других несим- 
метричных шифров) в исполняемом коде (ключи также имеют высокую энтро- 
пию), но я не пробовал. 


9.2.3. Инструменты 


Удобная утилита из Linux ent для вычисления энтропии файла. 


Неплохой онлайновый визуализатор энтропии, сделанный Aldo Cortesi, которо- 

му я пытался подражать при помощи Mathematica: http://binvis.io. Его ста- 

тьи о визуализации энтропии тоже стоит почитать: Пр: //сог{е. 51/роѕ15/ 
visualisation/entropy/index.html, http://corte.si/posts/visualisation/malware/ 
index.html, http://corte.si/posts/visualisation/binvis/index.html. 


В фреймворке гадаге2 есть команда #entropy. 
Для IDA есть 1РАїгору”. 


9.2.4. Кое-что о примитивном шифровании как ХОК 


Интересно, что простое шифрование при помощи XOR не меняет энтропии дан- 
ных. В этой книге я показал это в примере с Norton Guide (9.1.2 (стр. 1169)). 


Обобщая: шифрования при помощи шифровании с заменой также не меняет эн- 
тропии данных (а ХОВ можно рассматривать как шифрование заменой). Причи- 
на в том, что алгоритм вычисления энтропии рассматривает данные на уровне 
байт. С другой стороны, данные зашифрованные с 2-х или 4-х байтным ХОВ- 
шаблоном приведут к другому уровню энтропии. 


Так или иначе, низкая энтропия это обычно верный признак слабой любитель- 
ской криптографии (которая используется в лицензионных ключах/файлах, и 
т. д.). 


9.2.5. Еще об энтропии исполняемого кода 


Легко заметить, что наверное самый большой источник большой энтропии в 
исполняемом коде это относительные смещения закодированные в опкодах. 
Например, эти две последовательные инструкции будут иметь разные относи- 
тельные смещения в своих опкодах, в то время как они, на самом деле, указы- 
вают на одну и ту же ф-цию: 


function proc 


5Rivest Shamir Adleman 
ŝhttp://ww.fourmilab.ch/random/ 
Thttps://github.com/danigargu/IDAtropy 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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function епар 


CALL function 


CALL function 


Идеальный компрессор исполняемого кода мог бы кодировать информацию 
так: есть CALL в “function” по адресу X и такой же CALL по адресу У без необ- 
ходимости кодировать адрес ф-ции function дважды. 


Чтобы с этим разобраться, компрессоры исполняемых файлов иногда могут 
уменьшить энтропию здесь. Один из примеров это UPX: һіїр: //зоигсетогде. 
net/p/upx/code/ci/default/tree/doc/filter.txt. 


9.2.6. ГПСЧ 


Когда я запускаю GnuPG для генерации закрытого (секретного) ключа, он спра- 
шивает об энтропии ... 


Ме need То generate а lot о? random bytes. It is а good idea to perform 
some other action (type on the keyboard, move the mouse, utilize the 
disks) during the prime generation; this gives the random number 
generator a better chance to gain enough entropy. 


Not enough random bytes available. Please do some other work to give 
the OS a chance to collect more entropy! (Need 169 more bytes) 


Это означает, что хороший ГПСЧ выдает длинные результаты с большой 3H- 
тропией, и это тоже что нужно для секретного ключа в ассиметричной крипто- 
графии. Но СРАМС? это сложно (потому что компьютер сам по себе это очень 
детерменистичное устройство), так что GnuPG просит у пользователя допол- 
нительной случайной информации. 


9.2.7. Еще примеры 

Вот случай, где я делаю попытку подсчитать энтропию некоторых блоков с 
неизвестным содержимым: 8.7 (стр. 1077). 

9.2.8. Энтропия различных файлов 


Энтропия случайной информации близка к 8: 


% аа bs=1M соип{=1 if=/dev/urandom | ent 
Entropy = 7.999803 bits рег byte. 


Это означает, что почти всё доступное место внутри байта заполнено инфор- 
мацией. 


8Cryptographically secure РѕеиаоВапаот Number Generator 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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256 байта в пределах 0..255 дает точное значение 8: 


#!/usr/bin/env python 
import sys 


for i in range(256): 
sys.stdout.write(chr(i)) 


% python 1.py | ent 
Entropy = 8.000000 bits per byte. 


Порядок не важен. Это означает, что всё доступное место внутри байта запол- 
нено. 


Энтропия любого блока заполненного нулевыми байтами это 0: 


% аа bs=1M соипі=1 if=/dev/zero | ent 
Entropy = 0.000000 bits рег byte. 


Энтропия строки, состоящей из одного (любого) байта это 0: 


% есһо —п "ааааааааааааааааааа" | епї 
Entropy = 0.000000 bits рег byte. 


Энтропия раѕеб4-строки такая же, как и энтропия исходных данных, но умно- 
жена на 3. Это потому что кодирование в раѕеб4 использует 64 символа вместо 
256. 


% аа bs=1M соип{=1 if=/dev/urandom | Базеб4 | ent 
Entropy = 6.022068 bits рег byte. 


Вероятно, 6.02 чуть больше 6 из-за того, что выравнивающий символ (=) немно- 
го портит статистику. 


Оиепсоде также использует 64 символа: 


% аа bs=1M соипі=1 11=/4еу/игапаот | uuencode - | ent 
Entropy = 6.013162 bits рег byte. 


Это означает, что любая строка в баѕеб4 и Uuencode может быть передана 
используя 6-битные байты или символы. 


Любая случайная информация в шестнадцатеричном виде имеет энтропию в 4 
бита на байт: 


% openssl гапа -hex $\$$(( 2**16 )) | ent 
Entropy = 4.000013 bits рег byte. 


Энтропия случайно выбранного текста на английском из библиотеки Гутенбер- 
га имеет энтропию = 4.5. Это потому что английские тексты используют, в OC- 
новном, 26 латинских символов, и 1092(26) == 4.7, т.е., вам нужны 5-битные бай- 
ты для передачи несжатых английских текстов, это будет достаточно (так это 
и было в эпоху телетайпов). 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Случайно выбранный текст на русском из библиотеки һїїр: //116. ги это Ф.М.Достоевский 
“Идиот”, закодированный в СР1251. 


И этот файл имеет энтропию в = 4.98. В кириллице 33 буквы, и 1092(33) == 5.04. Но 
в русской письменности есть малопопулярная и редкая буква “ё”. И 1042(32) = 5 
(кирилличный алфавит без этой редкой буквы) — теперь это близко к тому, что 
мы получили. 


“д! 


Впрочем, этот текст использует букву “ё”, но, наверное, и там она встречается 
не часто. 


Тот же файл перекодированный из СР1251 в ОТЕ-8 дает энтропию в ғ 4.23. Kax- 
дый символ из кириллицы кодируется в ОТЕ-8 при помощи пары, и первый байт 
всегда один из этих двух: 0х00 ог 0х01. Видимо, это причина перекоса. 


Будем генерировать случайные биты и выводить их как символы “Т” и “Е”: 


#1 /иѕг/біп/епу python 
import random, sys 


rt="" 
for i in гапде(192400): 
if random. randint(0,1)==1: 
rt=rt+"T" 
else: 
rt=rt+"F" 
print rt 


Пример: ...ТТТЕТЕТТТЕРАТТТЕТТТТТТЕТТЕРТТТЕТЕТТЕТТЕЕЕЕЕЕ.... 
Энтропия очень близка к 1 (т.е., 1 бит на байт). 


Будем генерировать случайные десятичные цифры: 


#!/usr/bin/env python 
import random, sys 


rt=" и 
for i іп гапде(102400): 

гі=гї+"%а" % гапаот. гапатп* (0,9) 
print гї 


Например: ...52203466119390328807552582367031963888032.... 


Энтропия близка к 3.32, действительно, это 1092(10). 


9.2.9. Понижение уровня энтропии 


Автор этих строк однажды видел ПО, которое хранило каждый шифрованный 


2 „ Ө byte 
байт B Tpex байтах: каждый имел значение & с так что реконструирова- 


ние шифрованного байта включало в себя суммирование трех последователь- 
но расположенных байт. Выглядит абсурдно. 


9http://az.lib.ru/d/dostoewskij_f_m/text_0070.shtml 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Но некоторые люди говорят, что это было сделано для сокрытия того самого 
факта, что данные имеют внутри что-то зашифрованное: измерение энтропии 
такого блока покажет уровень энтропии намного ниже. 


9.3. Файл сохранения состояния в игре Millenium 


Игра «Millenium Return to Earth» под DOS довольно древняя (1991), позволяю- 
щая добывать ресурсы, строить корабли, снаряжать их на другие планеты, и 
т. д. 10. 


Как и многие другие игры, она позволяет сохранять состояние игры в файл. 


Посмотрим, сможем ли мы найти что-нибудь в нем. 


10Её можно скачать бесплатно здесь 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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В игре есть шахта. Шахты на некоторых планетах работают быстрее, на неко- 
торых других — медленнее. Набор ресурсов также разный. 


Здесь видно, какие ресурсы добыты в этот момент: 


DOSBox 0.74, Сри speed: 3000 cycles, Frameskip 0, Program: 2200А0 


Н-оросеЕП 
Пнч-сеЕП 
Шатег 
ПІ TROGCEM 
Ше тап 
GuULAHUR 
ТІ тап шт 
Heumimi шт 
СоррРЕР 
GILICA 
| ROM 
GILER 
навали 
LATI пит 
Ш м Шегагпі ит 


Рис. 9.14: Шахта: первое состояние 


Сохраним состояние игры. Это файл размером 9538 байт. 


Подождем несколько «дней» здесь в игре и теперь в шахте добыто больше 
ресурсов: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


DOSBox 0.74, Сри speed: зоа cycles, Frameskip 0, Program: 2200А0 Е 


НУъеоасЕеп 
О-ыуБеп 
Шатр 
ПІ таосБЕегп 
Ше таге 
== нү. 
Titanium 
ЕШ mi um 
СоррРЕР 
== 
| pom 
GILYER 
Снеаті um 
PALATI num 
m | |гагаг1! иг 


Рис. 9.15: Шахта: второе состояние 


Снова сохраним состояние игры. 


Теперь просто попробуем сравнить оба файла побайтово используя простую 
утилиту ЕС 
под DOS/Windows: 


..> ЕС /b 22005аме.і.м1 22005А\МЕ.Т.\2 


Comparing files 22005ауе.1.\1 апа 22005А\Е.Т.\/2 
00000016: Өр 04 
00000017: ӨЗ 04 
0000001С: 1F 1E 
00000146: 27 3B 
00000BDA: ОЕ 16 
00000BDC: 66 9B 
00000BDE: ОЕ 16 
00000BE0: ОЕ 16 
00000BE6: DB 4C 
00000BE7: 00 01 
00000BE8: 99 E8 
00000BEC: A1 F3 
00000BEE: 83 C7 
00000BFB: A8 28 
00000BFD: 98 18 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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00000BFF: А8 28 
00000С01: АЗ 28 
00000с07: 08 58 
0000009: E4 А4 
00000сөр: 38 B8 
00000C0F: E8 68 


Вывод здесь неполный, там было больше отличий, но мы обрежем результат 
до самого интересного. 


В первой версии у нас было 14 единиц водорода (hydrogen) и 102 — кислорода 
(охудеп). 


Во второй версии у нас 22 и 155 единиц соответственно. 


Если эти значения сохраняются в файл, мы должны увидеть разницу. И она 
действительно есть. Там ОхОЕ (14) на позиции 0хВВА и это значение 0x16 (22) 
в новой версии файла. Это, наверное, водород. Там также 0х66 (102) на пози- 
ции ОхВОС в старой версии и 0х9В (155) в новой версии файла. Это, наверное, 
кислород. 


Обе версии файла доступны на сайте, для тех кто хочет их изучить (или поэкс- 
периментировать): Бедтпегсз.ге. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Новую версию файла откроем в Нем и отметим значения, связанные с ресур- 
сами, добытыми на шахте в игре: 


Нем 005ауе.1.у2 


Рис. 9.16: Нем: первое состояние 


Проверим каждое. Это явно 16-битные значения: не удивительно для 16-битной 
программы под 005, где /пЁ имел длину в 16 бит. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Проверим наши предположения. Запишем 1234 (0х402) на первой позиции 
(это должен быть водород): 


ЕЕ нем: 2200save.i.v2 и 


C: \tmp\2200save.i.v2 ВЕРЮ EDITMODE 00000BDC 


ве 00 ве B8- 
ве өе 00 00- 


Рис. 9.17: Hiew: запишем Tam (0x4D2) 


Затем загрузим измененный файл в игру и посмотрим на статистику в шахте: 


Н-оросеЕП 
ПнчсЕП 
WaTER 
Mi TROGCEM 
MeTHANME 
==. 


Titanium 
Heumimi um 


. ACATI пит 
m UEan I ит 


Рис. 9.18: Проверим значение водорода 


Так что да, это оно. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: . Спасибо! 


1216 


Попробуем пройти игру как можно быстрее, установим максимальные значе- 
ния везде: 


Рис. 9.19: Нем: установим максимальные значения 


ОХЕЕЕЕ это 65535, так что да, у нас много ресурсов теперь: 


Яш шті пі um 
СоррРЕР 
GILICA 
воп 
=. 
Снеаті um 
_ Ришат пит 
пит Шегі шт 


Рис. 9.20: Все ресурсы теперь действительно 65535 (ОхЕЕЕР) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: . Спасибо! 
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Пропустим еще несколько «дней» в игре и видим что-то неладное! Некоторых 
ресурсов стало меньше: 


DOSBox 0.74, Сри speed: 3000 cycles, Ғғатеѕкір 0, Program: 2200А0 


НытпигпгпЕгп 
О-ыБеп 
Шатр 
ПІ тРОбСЕП 
Ше таге 
Бшш ение 
Titanium 
Heumi mi um 
СоррРЕР 
== 
рой 
=. 
Снеаті um 
PALATI пит 
ў ean I шт 


Рис. 9.21: Переполнение переменных ресурсов 


Это просто переполнение. Разработчик игры, должно быть, никогда не думал, 
что значения ресурсов будут такими большими, так что, здесь, наверное, нет 
проверок на переполнение, но шахта в игре «работает», ресурсы добавляются, 
отсюда и переполнение. 


Вероятно, не нужно было жадничать. 
Здесь наверняка еще какие-то значения в этом файле. 


Так что это очень простой способ читинга в играх. Файл с таблицей очков так- 
же можно легко модифицировать. 


Еще насчет сравнения файлов и снимков памяти: 5.10.2 (стр. 929). 


9.4. Файл с индексами в программе fortune 


(Эта часть впервые появилась в моем блоге 25 апреля 2015.) 


fortune это хорошо известная программа в UNIX, которая показывает случай- 
ную фразу из коллекции. Некоторые гики настраивают свою систему так, что 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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fortune запускается после входа в систему. fortune берет фразы из текстовых 
файлов расположенных в /иѕг/ѕһаге/датеѕ/огіипеѕ (по крайней мере, в Ubuntu 
Linux). Вот пример (текстовый файл «Ёогїипеѕ»): 


дау for firm decisions!!!!! Ог is it? 
few hours grace before the madness begins again. 


gift of a flower will soon be made to you. 


> 00 >> 50 > д° > 


long-forgotten loved опе will appear soon. 


Buy the negatives at any price. 


Q 
26 


А tall, dark stranger will have тоге Тип than уои. 


Q 
© 


Так что это фразы, иногда из нескольких строк, все разделены знаком про- 
цента. Задача программы fortune это найти случайную фразу и вывести её. 
Чтобы это сделать, она должна просканировать весь текстовый файл, подсчи- 
тать кол-во фраз, выбрать случайную и вывести. Но текстовый файл может 
стать большим, и даже на современных компьютерах, этот наивный алгоритм 
немного неэкономичный по отношению к ресурсам. Прямолинейный метод это 
держать бинарный файл с индексами, содержащий смещение каждой фразы 
в текстовом файле. С файлом индексов, программа fortune может работать Ha- 
много быстрее: просто выбрать случайный элемент из индекса, взять смеще- 
ние оттуда, найти смещение в текстовом файле и прочитать фразу оттуда. Это 
и сделано в программе fortune. Посмотрим, что внутри файла с индексами (это 
.ааї-файлы в той же директории) в шестнадцатеричном редакторе. Конечно, 
эта программа с открытыми исходными кодами, но сознательно, мы не будем 
подсматривать в исходники. 


% od -t х1 --аййгеѕѕ5-гайіх=х Ғогіипеѕ.Яаї 

000000 00 00 00 02 00 00 01 af 00 00 00 bb 00 00 00 Of 
000010 00 00 00 00 25 00 00 00 00 00 00 00 00 00 00 2Ь 
000020 00 00 00 60 00 00 00 8+ 00 00 00 df 00 00 01 14 
000030 00 00 01 48 00 00 01 7с 00 00 01 ар 00 00 01 еб 
000040 00 00 02 20 00 00 02 ЗЬ 00 00 02 7а 00 00 02 с5 
000050 00 00 03 04 00 00 03 За 00 00 03 68 00 00 03 a7 
000060 00 00 03 е1 00 00 04 19 00 00 04 2d 00 00 04 7f 
000070 00 00 04 аа 00 00 04 d5 00 00 05 05 00 00 05 3b 
000080 00 00 05 64 00 00 05 82 00 00 05 аа 00 00 05 се 
000090 00 00 05 f7 00 00 06 1с 00 00 06 61 00 00 06 7a 
0000а0 00 00 06 d1 00 00 07 Oa 00 00 07 53 00 00 07 9а 
000000 00 00 07 f8 00 00 08 27 00 00 08 59 00 00 08 8b 
0000с0 00 00 08 аб 00 00 08 c4 00 00 08 е1 00 00 08 f9 
000090 00 00 09 27 00 00 09 43 00 00 09 79 00 00 09 a3 
0000е0 00 00 09 e3 00 00 Oa 15 00 00 Oa 44 00 00 Oa 5e 
0000Т0 00 00 Oa Ва 00 00 Oa аб 00 00 Oa bf 00 00 Oa ef 
000100 00 00 Ob 18 00 00 ОЬ 43 00 00 ОЬ 61 00 00 ОЬ 8e 
000110 00 00 Ob cf 00 00 Ob Ға 00 00 Oc 3b 00 00 Өс 66 
000120 00 00 Oc 85 00 00 Ос b9 00 00 Oc d2 00 00 0а 02 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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000130 00 00 Od 3b 00 00 Od 67 00 00 Od ас 00 00 Od еб 
000140 00 00 бе 1е 00 00 бе 67 00 00 бе a5 00 00 Oe да 
000150 00 00 бе ff 00 00 Of 43 00 00 Of Ва 00 00 Of bc 
000160 00 00 Of е5 00 00 10 le 00 00 10 63 00 00 10 9а 
000170 00 00 10 ез 00 00 11 10 00 00 11 46 00 00 11 бс 
000180 00 00 11 99 00 00 11 ср 00 00 11 f5 00 00 12 32 
000190 00 00 12 61 00 00 12 8с 00 00 12 са 00 00 13 87 
0001а0 00 00 13 c4 00 00 13 fc 00 00 14 1а 00 00 14 6f 
000160 00 00 14 ае 00 00 14 де 00 00 15 16 00 00 15 55 
0001с0 00 00 15 аб 00 00 15 d8 00 00 16 Of 00 00 16 4e 


Без всякой посторонней помощи, мы видим что здесь 4 4-байтных элемента 
в каждой 16-байтной строке. Вероятно, это и есть наш массив с индексами. 
Попробую загрузить весь файл в Wolfram Mathematica как массив из 32-битных 
целочисленных значений: 


Іп[1:= ВіпагуВеааі 151 [ "с: /+тр1/ Ғогіипеѕ.даї", "Опѕідпедїпїедег32" ] 


Оиї[]= 433554432, 2936078336, 3137339392, 251658240, 0, 37, 0, \ 
721420288, 1610612736, 2399141888, 3741319168, 335609856, 1208025088, \ 
2080440320, 2868969472, 3858825216, 537001984, 989986816, 2046951424, \ 
3305242624, 67305472, 1023606784, 1745027072, 2801991680, 3775070208, \ 
419692544, 755236864, 2130968576, 2902720512, 3573809152, 84213760, \ 
990183424, 1678049280, 2181365760, 2902786048, 3456434176, \ 
4144300032, 470155264, 1627783168, 2047213568, 3506831360, 168230912, \ 
1392967680, 2584150016, 4161208320, 654835712, 1493696512, \ 
2332557312, 2684878848, 3288858624, 3775397888, 4178051072, \ 


Нет, что-то не так. Числа подозрительно большие. Вернемся к выводу оа: каж- 
дый 4-байтный элемент содержит 2 нулевых байта и 2 ненулевых байта, так 
что смещения (по крайней мере в начале файла) как минимум 16-битные. Веро- 
ятно, в этом файле используется другой епаГаппе5$ (порядок байт)? Порядок 
байт в Mathematica, по умолчанию, это little-endian, как тот, что используется 
в Intel СРО. Теперь я переключаю на big-endian: 


Іп[]:= ВіпагуВеаагіѕі [ "с: /+тр1/ Ғогіипеѕ.даї", "Опѕідпеаїпіедег32", 
Byte0rdering -> 1] 


Out[]= {2, 431, 187, 15, 0, 620756992, 0, 43, 96, 143, 223, 276, \ 

328, 380, 427, 486, 544, 571, 634, 709, 772, 829, 872, 935, 993, \ 

1049, 1069, 1151, 1197, 1237, 1285, 1339, 1380, 1410, 1453, 1486, \ 
1527, 1564, 1633, 1658, 1745, 1802, 1875, 1946, 2040, 2087, 2137, \ 
2187, 2208, 2244, 2273, 2297, 2343, 2371, 2425, 2467, 2531, 2581, \ 
2637, 2654, 2698, 2726, 2751, 2799, 2840, 2883, 2913, 2958, 3023, \ 
3066, 3131, 3174, 3205, 3257, 3282, 3330, 3387, 3431, 3500, 3552, \ 


Теперь это можно читать. Я выбрал случайный элемент (3066), а это ОхВЕА в 
шестнадцатеричном виде. Открываю текстовый файл 'fortunes’ в шестнадца- 
теричном редакторе, выставляю ОхВЕА как смещение, и вижу эту фразу: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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% od -t х1 -c --skip-bytes=0xbfa --аййгеѕ5-гадіх=х fortunes 
000bfa 44 6f 20 77 68 61 74 20 63 6f ба 65 73 20 бе 61 
D о м һ а t С о т е 5 
000сба 74 75 72 61 бс бс 79 2e 20 20 53 65 65 74 68 65 
t u r a l l y Р S e e t h е 
000cla 20 61 бе 64 20 66 75 ба 65 20 61 бе 64 20 74 68 
a n d f u те a n d t h 


Nnn: 


Do what comes naturally. Seethe and fume and throw a tantrum. 


% 


Другие смещения тоже можно проверить и, да, они верные. 


В Mathematica я также могу удостовериться, что каждый следующий элемент 
больше предыдущего. Т.е., элементы возрастают. На математическом жаргоне, 
это называется строго возрастающая монотонная ф-ция. 


Іп[]:= рі#ғегепсеѕ [іприї] 


Ои []= 4429, -244, -172, -15, 620756992, –620756992, 43, 53, 47, \ 

80, 53, 52, 52, 47, 59, 58, 27, 63, 75, 63, 57, 43, 63, 58, 56, 20, \ 
82, 46, 40, 48, 54, 41, 30, 43, 33, 41, 37, 69, 25, 87, 57, 73, 71, \ 
94, 47, 50, 50, 21, 36, 29, 24, 46, 28, 54, 42, 64, 50, 56, 17, 44, \ 
28, 25, 48, 41, 43, 30, 45, 65, 43, 65, 43, 31, 52, 25, 48, 57, 44, \ 
69, 52, 62, 73, 62, 53, 37, 68, 71, 50, 41, 57, 69, 58, 70, 45, 54, \ 
38, 45, 50, 42, 61, 47, 43, 62, 189, 61, 56, 30, 85, 63, 48, 61, 58, \ 
81, 50, 55, 63, 83, 80, 49, 42, 94, 54, 67, 81, 52, 57, 68, 43, 28, \ 
120, 64, 53, 81, 33, 82, 88, 29, 61, 32, 75, 63, 70, 47, 101, 60, 79, \ 
33, 48, 65, 35, 59, 47, 55, 22, 43, 35, 102, 53, 80, 65, 45, 31, 29, \ 
69, 32, 25, 38, 34, 35, 49, 59, 39, 41, 18, 43, 41, 83, 37, 31, 34, \ 
59, 72, 72, 81, 77, 53, 53, 50, 51, 45, 53, 39, 70, 54, 103, 33, 70, \ 
51, 95, 67, 54, 55, 65, 61, 54, 54, 53, 45, 100, 63, 48, 65, 71, 23, \ 
28, 43, 51, 61, 101, 65, 39, 78, 66, 43, 36, 56, 40, 67, 92, 65, 61, \ 
31, 45, 52, 94, 82, 82, 91, 46, 76, 55, 19, 58, 68, 41, 75, 30, 67, \ 
92, 54, 52, 168, 60, 56, 76, 41, 79, 54, 65, 74, 112, 76, 47, 53, 61, \ 
66, 53, 28, 41, 81, 75, 69, 89, 63, 60, 18, 18, 50, 79, 92, 37, 63, \ 
88, 52, 81, 60, 80, 26, 46, 80, 64, 78, 70, 75, 46, 91, 22, 63, 46, \ 
34, 81, 75, 59, 62, 66, 74, 76, 111, 55, 73, 40, 61, 55, 38, 56, 47, \ 
78, 81, 62, 37, 41, 60, 68, 40, 33, 54, 34, 41, 36, 49, 44, 68, 51, \ 
50, 52, 36, 53, 66, 46, 41, 45, 51, 44, 44, 33, 72, 40, 71, 57, 55, \ 
39, 66, 40, 56, 68, 43, 88, 78, 30, 54, 64, 36, 55, 35, 88, 45, 56, \ 
76, 61, 66, 29, 76, 53, 96, 36, 46, 54, 28, 51, 82, 53, 60, 77, 21, \ 
84, 53, 43, 104, 85, 50, 47, 39, 66, 78, 81, 94, 70, 49, 67, 61, 37, \ 
51, 91, 99, 58, 51, 49, 46, 68, 72, 40, 56, 63, 65, 41, 62, 47, 41, \ 
43, 30, 43, 67, 78, 80, 101, 61, 73, 70, 41, 82, 69, 45, 65, 38, 41, \ 
57, 82, 66} 


Как мы видим, за исключением только первых 6-и значений (которые, вероят- 
но, относятся к заголовку файла с индексами), все числа на самом деле это 
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длины текстовых строк (смещение следующей фразы минус смещение теку- 
щей фразы на самом деле это длина текущей фразы). 


Важно помнить, что порядок байт (епа!аппе$) легко спутать с неверным Ha- 
чалом массива. Действительно, из вывода оа мы можем увидеть что каждый 
элемент начинается с двух нулей. Но если сдвинуть на два байта в любую сто- 
рону, массив можно интерпретировать как little-endian: 


% оа -t х1 --аййгеѕѕ5-гадіх=х --5Ккір-руїеѕ=0х32 fortunes.dat 
000032 01 48 00 00 01 7с 00 00 01 ар 00 00 01 еб 00 00 
000042 02 20 00 00 02 ЗЬ 00 00 02 7а 00 00 02 с5 00 00 
000052 03 04 00 00 03 За 00 00 03 68 00 00 03 а7 00 00 
000062 03 е1 00 00 04 19 00 00 04 24 00 00 04 7f 00 00 
000072 04 аа 00 00 04 45 00 00 05 05 00 00 05 3b 00 00 
000082 05 64 00 00 05 82 00 00 05 аа 00 00 05 се 00 00 
000092 05 17 00 00 06 1с 00 00 06 61 00 00 06 7а 00 00 
0000а2 06 41 00 00 07 Oa 00 00 07 53 00 00 07 9a 00 00 
000062 07 f8 00 00 08 27 00 00 08 59 00 00 08 8b 00 00 
0000с2 08 аб 00 00 08 c4 00 00 08 е1 00 00 08 f9 00 00 
000042 09 27 00 00 09 43 00 00 09 79 00 00 09 аз 00 00 
0000е2 09 e3 00 00 ба 15 00 00 Oa 44 00 00 да 5e 00 00 


Если будем интерпретировать массив как little-endian, то первый элемент это 
0х4801, второй 0х7С01, и т. д. Старшая 8-битная часть каждого из этих 16- 
битных значений, выглядит для нас как случайная, а младшая 8-битная часть 
возрастает. 


Но я уверен, что это массив big-endian, потому что самый последний 32-битный 
элемент в файле тоже big-endian (и это 00 00 5f c4): 


% оа -t х1 --аййагеѕѕ5-гайіх=х Ғогіипеѕ.ааї 


000660 00 00 59 Od 00 00 59 55 00 00 59 7а 00 00 59 b5 
000670 00 00 59 f4 00 00 5а 35 00 00 5a 5e 00 00 5a 9с 
000680 00 00 5a ср 00 00 5a 14 00 00 5b 1f 00 00 5b За 
000690 00 00 5b 68 00 00 5b ар 00 00 5b f9 00 00 5с 49 
0006a0 00 00 5с ае 00 00 5с ер 00 00 54 34 00 00 54 7a 
000660 00 00 5а аз 00 00 54 f5 00 00 5e За 00 00 5e 67 
0006с0 00 00 5e a8 00 00 5e се 00 00 5e f7 00 00 5f 30 
000600 00 00 5f 82 00 00 5f c4 

0006а8 


Возможно, разработчик программы fortune имел Бід-епаіап-компьютер, а MoO- 
жет программа была портирована с чего-то такого. 


ОК, массив big-endian, и, если пользоваться здравым смыслом, самая первая 
фраза в текстовом файле должна начинаться с нулевого смещения. Так что 
нулевое значение должно присутствовать где-то в самом начале. У нас в нача- 
ле пара нулевых элементов. Но второй выглядит более привлекательно: после 
него идет 43, и 43 это корректное смещение, по которому в текстом файле на- 
ходится фраза на английском. 
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Последний элемент массива это 0x5FC4, а в текстовом файле нет байта по это- 
му смещению. Так что последний элемент указывает на место сразу за концом 
файла. Вероятно так сделано, потому что длина фразы вычисляется как раз- 
ница между смещением текущей фразы и смещением следующей фразы. Это 
может быть быстрее, чем искать в строке символ процента. Но это не будет ра- 
ботать для последнего элемента. Так что элемент-пустышка добавлен в конец 
массива. 


Так что первые 5 32-битных значений, видимо, это что-то вроде заголовка. 


О, ия забыл подсчитать количество фраз в текстовом файле: 


% cat fortunes | grep % | мс -l 
432 


Количество фраз может присутствовать в индексе, а может и нет. В случае с 
простейшими файлами индексов, количество элементов легко получить из раз- 
мера файла. Так или иначе, в этом текстовом файле 432 фразы. И мы видим 
что-то очень знакомое во втором элементе (значение 431). Я проверил осталь- 
ные файлы (literature.dat и riddles.dat в Ubuntu Linux), и да, второй 32-битный 
элемент это количество фраз минус 1. А почему минус 1? Вероятно, это не ко- 
личество фраз, а скорее номер последней фразы (считая с нуля)? 


В заголовке есть еще и другие элементы. В Mathematica, я загружаю каждый 
из трех доступных файлов и смотрю на заголовок: 


19{14]-= input = BinaryReadList["c:/tmp1/fortunes.dat", "UnsignedInteger32", 
ByteOrdering > 1]; 
г18]= BaseForm [Take [input, {1, 6}], 16] 
Ош{[18}/ВазеРопт= 


1216, 1аЁ1в, ЮБ:в, fie, Ore, 2500000015} 


г{19]:= input = BinaryReadList["c:/tmp1/literature.dat", "UnsignedInteger32", 
ByteOrdering > 1]; 


1520:= BaseForm [Take [input, {1, 6}], 16] 


Ош{20/ВазеРопт= 


1216, 10616, 98316, 1а1в, O16, 2500000015} 
15[21:= input = BinaryReadList["c:/tmp1/riddles.dat", "Опѕіспеатпёесдегз2", ВуфеОгаег1та > 1]; 


г{22]= ВазеРоги [Таке[іпроё, {1, 6}], 16] 


Out[22y/BaseForm= 


1216, 8016, 7f216, 2416, 016, 2500000015} 


Не знаю, что могут означать другие значения, кроме размера файла с индек- 
сами. Некоторые поля одинаковые для всех файлов, некоторые нет. Судя по 
моему опыту, тут могут быть: 


• сигнатура файла; 


• версия файла; 
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• контрольная сумма; 
• какие-нибудь флаги; 
• может быть даже идентификатор языка; 


• дата/время текстового файла, так что программа fortune будет регени- 
рировать файл с индексами только тогда, когда пользователь изменит 
текстовый файл. 


Например, .5УМ-файлы в Огас!е (9.5 (стр. 1225)), содержащие таблицу сим- 
волов ОШ -файлов, также содержат дату/время соответствующей DLL, чтобы 
быть уверенным, что файл всё еще верен. 


Но с другой стороны, дата/время и текстового файла и файла с индексами лег- 
ко может испортиться после архивирования/разархивирования/инсталлирова- 
ния/развертывания/и т. д. 


По моему мнению, здесь нет даты/времени. Самый компактный способ пред- 
ставления даты и времени это УМ!Х-время, а это большое 32-битное число. Hn- 
чего такого мы здесь не видим. Другие способы представления даже еще ме- 
нее компактны. 


Вот вероятный алгоритм, как работает fortune: 
• прочитать номер последней фразы из второго элемента; 
• сгенерировать случайное число в пределах 0..номер последней фразы; 


• найти соответствующий элемент в массиве смещений, также прочитать 
следующее смещение; 


• вывести в Stdout все символы из текстового файла начиная со смещения 
до следующего смещения минус 2 (чтобы проигнорировать терминирую- 
щий знак процента и символ из следующей фразы). 


9.4.1. Хакинг 


Проверим некоторые из наших предположений. Я создам текстовый файл по 
такому пути и с таким именем: /и5г/ѕһаге/датеѕ/огипеѕ/югіипеѕ: 


Phrase one. 


Q 
© 


Phrase two. 


о, 
26 


Теперь такой файл fortunes.dat. Я взял заголовок из оригинального їогїипеѕ.ааї, 
я поменял второе поле (количество фраз) в 0 и я оставил два элемента в мас- 
сиве: 0 и 0х1с, потому что длина всего текста в файле fortunes это 28 (0х1с) 
байт: 


% od -t х1 --аййагеѕѕ5-гайіх=х Ғогіипеѕ.ааї 
000000 00 00 00 02 00 00 00 00 00 00 00 bb 00 00 00 Of 
000010 00 00 00 00 25 00 00 00 00 00 00 00 00 00 00 1с 
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Запускаю: 


% /иѕг/датеѕ/ ҒогЕипе 
fortune: по fortune found 


Что-то He так. Поменяем второе поле на 1: 


% od -t х1 --аййагеѕѕ5-гайіх=х Ғогіипеѕ.ааї 
000000 00 00 00 02 00 00 00 01 00 00 00 bb 00 00 00 Of 
000010 00 00 00 00 25 00 00 00 00 00 00 00 00 00 00 1с 


Теперь работает. Показывает только первую фразу: 


% /иѕг/датеѕ/ ҒогЕипе 
Phrase опе. 


Хммм. Оставим только один элемент в массиве (0) без заключающего: 


% od -t х1 --аййагеѕѕ5-гайіх=х Ғогіипеѕ.ааї 

000000 00 00 00 02 00 00 00 01 00 00 00 bb 00 00 00 Of 
000010 00 00 00 00 25 00 00 00 00 00 00 00 

00001с 


Программа fortune всегда показывает только первую фразу. 


Из этого эксперимента мы узнали что знак процента из текстового файла все- 
таки обрабатывается, а размер вычисляется не так, как предполагал, веро- 
ятно, последний элемент массива не используется. Хотя, его все еще можно 
использовать. И возможно он использовался в прошлом? 


9.4.2. Файлы 


Ради демонстрации, я не смотрел в исходный код fortune. Если и вы хотите 
попытаться понять смысл других значений в заголовке файла с индексами, вы 
тоже можете попытаться достичь этого без заглядывания в исходники. Файлы, 
которые я взял из Ubuntu Linux 14.04, находятся здесь: һїїр: //бедіппегѕ. ге/ 
ехатр1е5/Тогфипе/, похаканные файлы там же. 


И еще я взял файлы из 64-битной Ubuntu, но элементы массива все так же 32- 
битные. Вероятно потому что текстовые файлы fortune никогда не превышают 
размер в 4С6іВ!!. Но если бы превышали, все элементы должны были бы иметь 
ширину в 64 бита, чтобы хранить смещение в текстовом файле размером боль- 
ше чем 4СЇВ. 


Для нетерпеливых читателей, исходники fortune здесь: һїїр<5://1аипсһраа.пет/ 
ubuntu/+source/fortune-mod/1:1.99.1-3.1lubuntu4. 


исыБуе 
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9.5. Oracle RDBMS: .5УМ-файлы 


Когда процесс в Oracle RDBMS терпит серьезную ошибку (crash), он записывает 
массу информации в лог-файлы, включая состояние стека, вроде: 


----- Call Stack Trace ————- 


calling call entry argument values in hex 
location type point (? means dubious value) 
ина РА 
ŅY =- 
_kqvrow() 00000000 
_opifch2()+2729 CALLptr 00000000 23D4B914 E47F264 1F19AE2 
ЕВ1С8А8 1 
_Кроа\8 () +2832 САШ. геї _opifch2() 89 5 ЕВ1СС74 
_оріоаг() +1248 САШ гед 00000000 5E 1С ЕВІҒӨАӨ 
_ttcpip()+1051 CALLreg 00000000 5E 1C ЕВ1ІҒӨАӨ 0 
_ор1ї5К()+1404 CALL??? 00000000 C96C040 5E ЕВ1ҒӨАӨ 0 2 
S EB1ED30 
EB1F1CC 53E52E 0 EB1F1F8 
_ор11по()+980 САШ геї орі+ѕК() 00 
_оріоаг() +1248 САШ гед 00000000 3C 4 ЕВ1ЕВЕ4 
_оріагу() +1201 САШ геї оріоаг() ЗС 4 ЕВТЕВЕА 0 
_650и20()+55 САШ геї оріагу() ЗС 4 ЕВТЕВЕ4 
_орітаі геа1 ()+124 САШ геї 50и20() ЕВ1ЕСӨ4 ЗС 4 ЕВТЕВЕ4 
_ор1та1 () +125 САШ геї _ор1та1 геа1() 2 ЕВ1ЕС2С 
_OracleThreadStart@ САШ геї орітаі () 2 EB1FF6C 7С88А7Е4 р 
S ЕВ1ЕСЗ4 0 
4()+830 EB1FD04 
77E6481C CALLreg 00000000 E41FF9C 0 0 E41FF9C 0 2 
S EB1FFC4 
00000000 CALL??? 00000000 


Но конечно, для этого исполняемые файлы Oracle RDBMS должны содержать 
некоторую отладочную информацию, либо тар-файлы с информацией о сим- 
волах или что-то в этом роде. 


Oracle RDBMS для Windows МТ содержит информацию о символах в файлах с 
расширением .5УМ, но его формат закрыт. 


(Простые текстовые файлы — это хорошо, но они требуют дополнительной об- 
работки (парсинга), и из-за этого доступ к ним медленнее.) 


Посмотрим, сможем ли мы разобрать его формат. Выберем самый короткий 
файл огамес8 . зут, поставляемый с файлом огамс8. 911 в Oracle 8.1.7 12. 


12Будем использовать древнюю версию Oracle RDBMS сознательно, из-за более короткого разме- 
ра его модулей 
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Вот я открываю этот файл в Нем: 


Нем: orawtc8.sym 


Рис. 9.22: Весь файл в Нем 


Сравнивая этот файл с другими .5УМ-файлами, мы можем быстро заметить, что 
05ҮМ всегда является заголовком (и концом), так что это, наверное, сигнатура 
файла. 


Мы также видим, что в общем-то, формат файла это: OSYM + какие-то бинар- 
ные данные + текстовые строки разделенные нулем + ОЅҮМ. 


Строки — это, очевидно, имена функций и глобальных переменных. 
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Отметим сигнатуры ОЅҮМ и строки здесь: 


Рис. 9.23: Сигнатура ОЅҮМ и текстовые строки 


Посмотрим. В Ніем отметим весь блок со строками (исключая оконечивающую 
сигнатуру OSYM) и сохраним его в отдельный файл. 


Затем запустим ОМІХ-утилиты strings и ис для подсчета текстовых строк: 


strings strings_block | мс -l 
66 


Так что здесь 66 текстовых строк. Запомните это число. 


Можно сказать, что в общем, как правило, количество чего-либо часто сохра- 
няется в бинарном файле отдельно. 


Это действительно так, мы можем найти значение 66 (0х42) в самом начале 
файла, прямо после сигнатуры ОЅҮМ: 


$ hexdump -C огамїс8. ѕут 

00000000 4f 53 59 4d 42 00 00 00 00 10 00 10 80 10 00 10 |05ҮМВ; 
ССРУ А 

00000010 ТО 10 00 10 50 11 00 10 60 11 00 10 cO 11 00 10 |]....Р2 
© жиз Бана | 
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00000020 dO 11 00 10 70 13 00 10 40 15 00 10 50 15 00 10 |....р...@...Рг 
У rii 

00000030 60 15 00 10 80 15 00 10 að 15 00 10 аб 15 00 10 / 
e | 


Конечно, 0x42 здесь это не байт, но скорее всего, 32-битное значение, запако- 
ванное как little-endian, поэтому мы видим 0х42 и затем как минимум З байта. 


Почему мы полагаем, что оно 32-битное? Потому что файлы с символами в 
Oracle RDBMS могут быть очень большими. oracle.sym для главного исполня- 
емого файла огасіе.ехе (версия 10.2.0.4) содержит 0x3A38E (238478) символов. 


16-битного значения тут недостаточно. 


Проверим другие .5УМ-файлы как этот и это подтвердит нашу догадку: значе- 
ние после 32-битной сигнатуры ОЅҮМ всегда отражает количество текстовых 
строк в файле. 


Это общая особенность почти всех бинарных файлов: заголовок с сигнатурой 
плюс некоторая дополнительная информация о файле. 


Рассмотрим бинарный блок поближе. Снова используя Нем, сохраним блок Ha- 
чиная с адреса 8 (т.е. после 32-битного значения, отражающего количество) 
до блока со строками, в отдельный файл. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Посмотрим этот блок в Нем: 


ЕЁ нем: asd2 

С:\Р\огас1е ѕут\м9\аѕӣ2 090009080 
00000000: 19 3 AA 
00000010: 11 B 
00000020: 15 
00000030 : 15 
00000040 : 15 
00000050: 15 
00000060: 17 
00000070: IF 
00000080 : 20 
00000090 : 20 
00000040 : 20 
00090988: 20 
000000C0 : 20 
00090008: 20 
000000E0 : 21 
000000970: 30 
00000100 : 30 
00000110: өө 
00000120: 00 
00000130: дө 
00000140: дө 
00000150: дө 
000001690: өө 
00000170: 01 
00000180: 01 
00000190: 01 эй 
00000140: ЕВ 01 *В 
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Рис. 9.24: Бинарный блок 


Тут явно есть какая-то структура. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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Добавим красные линии, чтобы разделить блок: 


ЕЁ нем: asd2 Е 


9900000090 : 19 0010 
00000010: 11 00 10 
00000020: 15 00 10 
9090000030: 15 00 10 
00000049 : 15 00 10 
00000050: 15 00 10 
09909069: 17 өө 10 
00000070: 17 00 10 
9090000080: 20 өө 10 
00000090: 20 00 10 
090000040: 20 өө 10 
99090000B0: 20 өө 10 
9090909С9: 20 00 10 
09909009: 20 өө 10 
000000EO: 21 00 10 
9900000F0: зе өө 10 
90900001090: зе өө 10 
00000110: ге ее өө 
00000120: ое 00 өө 
00000130: ое 00 өө 
00000149: ое ее өө 
00000150: 90 өө өө 
00000169: ое өе 00 
00000170: 01 өө өө 
990000180: 901 өө өө 
00000190: 01 ее өө 
00000140: FB 01 өө өө 
09090180: зр 02 өө өө 
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Рис. 9.25: Структура бинарного блока 


Hiew, как и многие другие шестнадцатеричные редакторы, показывает 16 байт 
на строку. 


Так что структура явно видна: здесь 4 32-битных значения на строку. 


Эта структура видна визуально потому что некоторые значения здесь (вплоть 
до адреса 0х104) всегда в виде 0х1000хххх, так что начинаются с байт 0х10 и 
0. 


Другие значения (начинающиеся на 0x108) всегда в виде 0х0000хххх, так что 
начинаются с двух нулевых байт. 


Посмотрим на этот блок как на массив 32-битных значений: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Листинг 9.10: первый столбец — это адрес 


$ оа -v -t х4 Б1пагу Боск 

0000000 10001000 10001080 10001070 10001150 
0000020 10001160 100011с0 10001140 10001370 
0000040 10001540 10001550 10001560 10001580 
0000060 100015а0 100015аб 100015ас 10001502 
0000100 10001508 100015ре 100015с4 100015са 
0000120 10001500 100015е0 10001660 10001760 
0000140 10001766 1000176с 10001780 10001750 
0000160 10001740 100017е0 10001810 10001816 
0000200 10002000 10002004 10002008 1000200с 
0000220 10002010 10002014 10002018 1000201с 
0000240 10002020 10002024 10002028 1000202с 
0000260 10002030 10002034 10002038 1000203с 
0000300 10002040 10002044 10002048 1000204с 
0000320 10002050 10002090 100020е4 10002018 
0000340 1000210с 10002120 10003000 10003004 
0000360 10003008 1000300с 10003098 1000309с 
0000400 100030а0 100030а4 00000000 00000008 
0000420 00000012 00000016 00000025 0000002е 
0000440 00000038 00000040 00000048 00000051 
0000460 0000005а 00000064 0000006е 0000007а 
0000500 00000088 00000096 000000а4 000000ае 
0000520 00000066 000000с0 00000002 000000е2 
0000540 00000010 00000107 00000110 00000116 
0000560 00000121 0000012а 00000132 0000013а 
0000600 00000146 00000153 00000170 00000186 
0000620 000001а9 000001с1 0000014е 000001еа 
0000640 00000116 00000207 00000216 0000022а 
0000660 00000234 0000024е 00000269 00000277 
0000700 00000287 00000297 00000266 000002са 
0000720 0000024с 00000210 00000304 00000321 
0000740 0000033е 00000354 0000037а 00000395 
0000760 000003ае 00000366 0000036е 000003с6 
0001000 000003се 000003ас 000003е9 00000318 
0001020 


Здесь 132 значения, а это 66*2. Может быть здесь 2 32-битных значения на 
каждый символ, а может быть здесь два массива? Посмотрим. 


Значения, начинающиеся с 0х1000 могут быть адресами. В конце концов, этот 
.ЅҮМ-файл для ОШ, а базовый адрес для ОШ в міп32 это 0х10000000, и сам код 
обычно начинается по адресу 0х10001000. 


Когда открываем файл orawtc8.dll в IDA, базовый адрес другой, но тем не Me- 
нее, первая функция это: 


.text:60351000 sub 60351000 proc near 
.text:60351000 

.text:60351000 аго_0 
.text:60351000 arg_4 
.text:60351000 arg_8 
.text:60351000 

.text:60351000 push ebp 


dword ptr 8 
dword ptr OCh 
dword ptr 10h 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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.Техт: 60351001 mov ebp, esp 

. text: 60351003 mov eax, dword_60353014 
.text:60351008 cmp eax, OFFFFFFFFh 

. text :6035100B jnz short loc_6035104F 
.text:6035100D mov ecx, hModule 

.Хехї: 60351013 xor eax, eax 

.text:60351015 cmp ecx, OFFFFFFFFh 

. text :60351018 mov dword_60353014, eax 
.text:6035101D jnz short loc 60351031 
.text:6035101F call sub _603510F0 

. text:60351024 mov ecx, eax 

.text:60351026 mov eax, dword_60353014 

. text :6035102B mov hModule, ecx 
.text:60351031 

.text:60351031 loc 60351031: ; CODE XREF: sub 60351000+1D 
.text:60351031 test ecx, ecx 

. text: 60351033 jbe short loc_6035104F 
.text:60351035 push offset ProcName ; "ax reg" 
. text :6035103A push ecx ; hModule 
. text :6035103B call ds : беїРгосАдЯгеѕ5 


Ух ты, «ах гед» звучит знакомо. Действительно, это самая первая строка в бло- 
ке строк 


Так что имя этой функции, похоже «ах_гед». 


Вторая функция: 


.text:60351080 sub 60351080 proc near 
.text:60351080 
.text:60351080 аго_0 
.text:60351080 arg_4 
.text:60351080 


dword ptr 8 
dword ptr ӨСһ 


.text:60351080 push ebp 

.text:60351081 mov ebp, esp 

. text : 60351083 mov eax, Чмога 60353018 

.Техт: 60351088 стр eax, OFFFFFFFFh 

. text :6035108B jnz short loc _603510CF 

. text :6035108D mov ecx, hModule 

. text: 60351093 xor eax, eax 

.text:60351095 cmp ecx, OFFFFFFFFh 

. text: 60351098 mov dword_60353018, eax 
.text:6035109D jnz short 1ос 60351081 

. text :6035109F call sub 603510Е0 

. text: 60351044 mov ecx, eax 

. text: 603510А6 mov eax, Чмога 60353018 

. text :603510AB mov hModule, ecx 

.text:603510B1 

.text:603510B1 loc 603510B1: ; CODE XREF: sub 60351080+1D 
.text:603510B1 test ecx, ecx 

. text :603510B3 jbe short 1ос_603510СЕ 
.text:603510B5 push offset аАх unreg ; "ax unreg" 
. text: 603510ВА push ecx ; hModule 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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‚техї:603510ВВ call ds:GetProcAddress 


Строка «ax_unreg» также это вторая строка в строке блок! 


Адрес начала второй функции это 0х60351080, а второе значение в бинарном 
блоке это 10001080. 


Так что это адрес, но для ОШ с базовым адресом по умолчанию. 


Мы можем быстро проверить и убедиться, что первые 66 значений в массиве 
(т.е. первая половина) это просто адреса функций в ОШ, включая некоторые 
метки, ит.д. 


Хорошо, что же тогда остальная часть массива? Остальные 66 значений, на- 
чинающиеся с 0х0000? Они похоже в пределах [0...0хЗЕ8]. И не похоже, что 
это битовые поля: ряд чисел возрастает. Последняя шестнадцатеричная циф- 
ра выглядит как случайная, так что, не похоже, что это адрес чего-либо (в 
противном случае, он бы делился, может быть, на 4 или 8 или 0х10). 


Спросим себя: что еще разработчики Oracle RDBMS хранили бы здесь, в этом 
файле? 


Случайная догадка: это может быть адрес текстовой строки (название функ- 
ции). 


Это можно легко проверить, и да, каждое число — это просто позиция первого 
символа в блоке строк. 


Вот и всё! Всё закончено. 


Напишем утилиту для конвертирования .5УМ-файлов в ІрА-скрипт, так что CMO- 
жем загружать .іас-скрипт и он выставит имена функций: 


#include <stdio.h> 
#include <stdint.h> 
#include <io. h> 

#include <assert.h> 
#include <malloc.h> 
#include <fcntl.h> 
#include <string.h> 


int main (int argc, char жагду[]) 
{ 
uint32_t sig, cnt, offset; 
uint32_t жа1, *d2; 
int h, i, remain, file len; 
char жа3; 
uint32 t аггау ѕіхе іп Буїеѕ; 


assert (агдм[1]); // file пате 
assert (агду[2]); // additional offset (if needed) 


// additional offset 
assert (sscanf (argv[2], "%X", &offset)==1); 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


1234 


// get file length 

assert ((һ=ореп (argv[1], _0_RDONLY | 0 BINARY, 0))!=-1); 
assert ((file_len=lseek (h, 0, SEEK_END))!=-1); 

assert (lseek (h, 0, SEEK_SET)!=-1); 


// read signature 

assert (read (h, &sig, 4)==4); 
// read count 

assert (read (h, &cnt, 4)==4); 


assert (sig==0x4D59534F); // 05ҮМ 


// skip timedatestamp (for 11g) 
//_lseek (h, 4, 1); 


array_size_ іп bytes=cnt*xsizeof(uint32 t); 


// load symbol addresses array 

dl=(uint32_t»)malloc (array_size_in_bytes); 

assert (d1); 

assert (read (h, 91, array _size_in_bytes)==array_size_in_bytes); 


// load string offsets array 

d2=(uint32_t»)malloc (array_size_in_bytes); 

assert (d2); 

assert (read (h, d2, array_size_in_bytes)==array size іп буїеѕ); 


// calculate strings block size 
remain=file_len-(8+4)-(cnt*8); 


// load strings block 
assert (d3=(charx)malloc (remain)); 
assert (read (h, d3, remain)==remain); 


printf ("#include <idc.idc>\n\n"); 
printf ("static main() {\n"); 


for (i=0; i<cnt; i++) 
printf ("\tMakeName (0х%08Х, \"%s\");\n", offset + 91[1], &/ 
s d3[d2[i]]); 


printf ("}\n"); 
close (h); 


free (d1); free (d2); free (d3); 
}; 


Пример его работы: 


#include <іас.ійс> 


static таіп() { 
МакеМате (0х60351000, " ах гед"); 
МакеМате (0х60351080, " ах ипгед"); 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 
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МаКемате 
МаКемате 


0х60351100, " міс1Кт"); 
0х60351370, " мїісѕїи"); 


МакеМате (0х603510Е0, "_loaddll"); 
МакеМате (0х60351150, " м{с$г1п0"); 
МакеМате (0х60351160, " мїісѕгіп"); 
МаКеМате (0х603511С0, "_wtcsrfre"); 
( 
( 


Файлы, использованные в этом примере, здесь: редіппегѕ. ге. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо 


1236 
О, можно еще попробовать Oracle RDBMS для win64. Там ведь должны быть 
64-битные адреса, верно? 


8-байтная структура здесь видна даже еще лучше: 


огас1е.зут 00000000 

00000000 : 53 

00000010 : 21 

00000020 : өө 

00000030 : 10 

00000049 : 11 

00000050 : 13 

00000060 : 14 

00000070 : 14 

00000080 : 1B 

00000099 : 1С 556 
өөвөөөде : 1С 290 
өөөөөөве : 25 

өевеөөсе : 26 

өөөөөөре : 26 

өөөөөөЕе : 27 

өөөөөөғе : 27 

00000100: 29 

00000110: 20 

00000120: 2Е 

00000130: 30 

00000140: 31 

00000150: 32 

00000160: 33 

00000170: 34 

00000180: 35 

00000190: 36 

00000140: 37 

161оБа1 2Е1181к >С 


Рис. 9.26: пример .5УМ-файла из Oracle RDBMS для міпб4 


Так что да, все таблицы здесь имеют 64-битные элементы, даже смещения 
строк! 


Сигнатура теперь 05ҮМАМ64, чтобы отличить целевую платформу, очевидно. 


Вот и всё! Вот также библиотека в которой есть функция для доступа к .5ҮМ- 
файлам Oracle RDBMS: GitHub. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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9.6. Oracle RDBMS: .М5В-файлы 


Работая над решением задачи, всегда 
полезно знать ответ. 


Законы Мерфи, правило точности 


Это бинарный файл, содержащий сообщения об ошибках вместе с их номера- 
ми. 


Давайте попробуем понять его формат и найти способ распаковать его. 


В Oracle RDBMS имеются файлы с сообщениями об ошибках в текстовом виде, 
так что мы можем сравнивать файлы: текстовый и запакованный бинарный 13. 


Это начало файла ORAUS.MSG без ненужных комментариев: 


Листинг 9.11: Начало файла ORAUS.MSG без комментариев 


00000, 00000, "normal, successful completion" 

00001, 00000, "unique constraint (%s.%s) violated" 

00017, 00000, "session requested to set trace event" 

00018, 00000, "maximum number of sessions exceeded" 

00019, 00000, "maximum number of session licenses exceeded" 

00020, 00000, "maximum number of processes (%s) exceeded" 

00021, 00000, "session attached to some other process; cannot switch к 
4 session" 

00022, 00000, "invalid session ID; access denied" 

00023, 00000, "session references process private memory; cannot detach 2 
session" 

00024, 00000, "logins from more than one process not allowed in 51п91е-/ 
„ process mode" 

00025, 00000, "failed to allocate %s" 

00026, 00000, "missing or invalid session ID" 

00027, 00000, "cannot kill current session" 

00028, 00000, "your session has been killed" 

00029, 00000, "session is not a user session" 

00030, 00000, "User session ID does not exist." 

00031, 00000, "session marked for kill" 


Первое число — это код ошибки. Второе это, вероятно, могут быть дополни- 
тельные флаги. 


13Текстовые файлы с открытым кодом в Oracle RDBMS имеются не для каждого .М$В-файла, вот 
почему мы будем работать над его форматом 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Давайте откроем бинарный файл ORAUS.MSB и найдем эти текстовые строки. 
И вот они: 


Рис. 9.27: Нем: первый блок 


Мы видим текстовые строки (включая те, с которых начинается файл ORAUS.MSG) 
перемежаемые с какими-то бинарными значениями. Мы можем довольно быст- 
ро обнаружить что главная часть бинарного файла поделена на блоки разме- 
ром 0х200 (512) байт. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Посмотрим содержимое первого блока: 


С: \Етр\огац$ .msb 90091400 
00001400: Р 8 
00001410: в d 
00001420: i i 
00001430: 

00001440: Впогта1, succ 
00001450: essful completio 
00001460: пип1дие constrai 
00001470: nt (%5.%5) viola 
00001480: tedsession reque 
00001490: sted to set trac 
00001440: е eventmaximum п 
000014B0: umber of session 
000014C0: s exceededmaximu 
00001400: m number of sess 
000014E0: ion licenses exc 
00001420: еедедтах1тит пит 
00001500: Бег of processes 
00001510: (%5) exceededse 
00001520: ssion attached t 
00001530: o some other pro 
00001540: cess; cannot swi 
00001550: tch ѕеѕѕіопіпуа1 
00001560: іа session ТО; а 
00001570: ссеѕ5 йепіейѕеѕѕ 
00001580: ion references р 
00001590: госеѕѕ private т 
00001540: етогу; cannot de 
000015B0: tach sessionlogi 
1610681 2 Ж< 1 Ж їҤегоза їп Оїгес :тәь1е 


Рис. 9.28: Нем: первый блок 


Мы видим тексты первых сообщений об ошибках. Что мы видим еще, так это 
то, что здесь нет нулевых байтов между сообщениями. Это значит, что это не 
оканчивающиеся нулем Си-строки. Как следствие, длина каждого сообщения 
об ошибке должна быть как-то закодирована. Попробуем также найти номера 
ошибок. Файл ORAUS.MSG начинается с таких: 0, 1, 17 (0x11), 18 (0x12), 19 
(0х13), 20 (0х14), 21 (0х15), 22 (0х16), 23 (0х17), 24 (0х18)... Найдем эти числа в 
начале блока и отметим их красными линиями. Период между кодами ошибок 
б байт. Это значит, здесь, наверное, 6 байт информации выделено для каждого 
сообщения об ошибке. 


Первое 16-битное значение (здесь ОХА или 10) означает количество сообщений 
в блоке: это можно проверить глядя на другие блоки. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Действительно: сообщения об ошибках имеют произвольный размер. Некото- 
рые длиннее, некоторые короче. Но длина блока всегда фиксирована, следо- 
вательно, никогда не знаешь, сколько сообщений можно запаковать в каждый 
блок. 


Как мы уже отметили, так как это не оканчивающиеся нулем Си-строки, длина 
строки должна быть закодирована где-то. 


Длина первой строки «normal, successful completion» это 29 (0х10) байт. Длина 
второй строки «unique constraint (%5.%5) violated» это 34 (0x22) байт. 


Мы не можем отыскать этих значений (0х10 или/и 0х22) в блоке. 


А вот еще кое-что. Oracle RDBMS должен как-то определять позицию стро- 
ки, которую он должен загрузить, верно? Первая строка «normal, successful 
completion» начинается с позиции 0х1444 (если считать с начала бинарного 
файла) или с 0x44 (от начала блока). Вторая строка «unique constraint (%5.%5) 
violated» начинается с позиции 0х1461 (от начала файла) или с 0x61 (считая 
с начала блока). Эти числа (0х44 и 0х61) нам знакомы! Мы их можем легко 
отыскать в начале блока. 


Так что, каждый 6-байтный блок это: 
• 16-битный номер ошибки; 
• 16-битный ноль (может быть, дополнительные флаги; 
• 16-битная начальная позиция текстовой строки внутри текущего блока. 


Мы можем быстро проверить остальные значения чтобы удостовериться в сво- 
ей правоте. И здесь еще последний «пустой» 6-байтный блок с нулевым номе- 
ром ошибки и начальной позицией за последним символом последнего сооб- 
щения об ошибке. Может быть именно так и определяется длина сообщения? 
Мы просто перебираем 6-байтные блоки в поисках нужного номера ошибки, 
затем мы узнаем позицию текстовой строки, затем мы узнаем позицию сле- 
дующей текстовой строки глядя на следующий 6-байтный блок! Так мы опре- 
деляем границы строки! Этот метод позволяет сэкономить место в файле не 
записывая длину строки! Нельзя сказать, что экономия памяти большая, но 
это интересный трюк. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Вернемся к заголовку .М5В-файла: 


[EF Hiew: oraus.msb O 
С: \tmp\oraus .msb 90000000 
9090090090 : 
00000010: 
00000020: 
000000390: 
00000040: Е ДВ 
00000050: Б ШЕЙБЕ ЕЕ 
00000060: 
00000070: 
00000080: 
00000090: 
00000040 : 
0000900B0 : 
000000C0: 
009090009 : 
000000EO : 
900000F0 : 
00000100: 
00000110: 
00000120: 
00000130: 
00000140: 
00000150: 
00000160: 
00000170: 
00000180: 
00000190: 
90090090140: 
00900180: өө 
1615521 2РЕЇЇВЇЖ 65 | Е Directii: | 9 \16Ш ае 1 


Рис. 9.29: Нем: заголовок файла 


Теперь мы можем быстро найти количество блоков (отмечено красным). Про- 
веряем другие .М5В-файлы и оказывается что это справедливо для всех. Здесь 
есть много других значений, но мы не будем разбираться с ними, так как наша 
задача (утилита для распаковки) уже решена. 


А если бы мы писали запаковщик .М5В-файлов, тогда нам наверное пришлось 
бы понять, зачем нужны остальные. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Тут еще есть таблица после заголовка, по всей видимости, содержащая 16- 
битные значения: 


С: \tmp\oraus.msb ЕЮ -------- 00990809 
00000800: EE | 4П4Ы4к4+ 4 [474 rA 
00000810: у4ы4$5 , 525954565 
00000820: | №5\5 ]5Д5К5П5Х5 5 
00000830: | 151515ф5868686$6 
00000840: ‚686 [6®6в6- 616 6 
00000850: | 1666 ч6э616%687 
00000860: 978787!7)71797Е7 
00000870: №707^717п707}7Д7 
00000880: в7171 7174771717 
00000890: р7ш7Є7 -7Е8$828и8 
00000840: | 281818 {889898989 
000008B0: | #9)9/959>9Е9р9ж9 
000008CO: :d:Ẹ:r:m: 
00000800: :ї: 
000008Е0: - ОЛДО ГЄ 
ЕН е<п<ы<П<Ц<!< [к< 
00000900: | ї<5=И>Р>Ц>Ю>з> > 
00000910: | [{>—>4>1!>с>ъ>ї>ш> 
00000920: | 828282#2+242; 202 
00000930: М?\/?а?1?х?А?И?С? 
00000940: | Щ?56568@ /@А@Н@Ь@ 
00000950: i Kelo Lea Чашошоєе 
00000960: | - ЗАВАВАВАОАМАМА 
00000970: _А+АпА{ АЖАНАЦАЯА 
00000980: | зАпАуАЙА;В` ОО 
00000990: | | DUF^FBINIVI _JAJ 
00000940: ! кар 
000009B0: C6 ! 747=777 г2р2щ21) 
1615621 225181 еу Ке оа 5 гіпо 01 :Таб1е № |190 ваме 1 


Рис. 9.30: Нем: таблица last_errnos 


Их длина может быть определена визуально (здесь нарисованы красные ли- 
нии). 


Когда мы сдампили эти значения, мы обнаружили, что каждое 16-битное число 
— это последний код ошибки для каждого блока. 


Так вот как Oracle RDBMS быстро находит сообщение об ошибке: 


• загружает таблицу, которую мы назовем Іаѕї еггпоѕ (содержащую послед- 
ний номер ошибки для каждого блока); 


• находит блок содержащий код ошибки, полагая что все коды ошибок уве- 
личиваются и внутри каждого блока и также в файле; 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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• загружает соответствующий блок; 


* перебирает 6-байтные структуры, пока не найдется соответствующий но- 
мер ошибки; 


• находит позицию первого символа из текущего 6-байтного блока; 

• находит позицию последнего символа из следующего 6-байтного блока; 

• загружает все символы сообщения в этих пределах. 
Это программа на Си которую мы написали для распаковки .М5В-файлов: бедіппегѕ.ге. 
И еще два файла которые были использованы в этом примере 


(Oracle RDBMS 11.1.0.6): бредіппегѕ.ге, редіппегѕ.ге. 


9.6.1. Вывод 


Этот метод, наверное, слишком олд-скульный для современных компьютеров. 
Возможно, формат этого файла был разработан в середине 1980-х кем-то, кто 
программировал для мейнфреймов, учитывая экономию памяти и места на дис- 
ках. Тем не менее, это интересная (хотя и простая) задача на разбор проприе- 
тарного формата файла без заглядывания в код Oracle RDBMS. 


9.7. Упражнения 


Попробуйте разобраться со структурой бинарных файлов вашей любимой иг- 
ры, включая файлы с очками, ресурсами, и т. д. 


Вот еще бинарные файлы с известной структурой: utmp/wtmp, попробуйте разо- 
браться с ними без документации. 


ЕХ!Е-заголовок в ЈРЕС-файлах документирован, но вы можете попытаться по- 
нять его структуру без помощи, просто делайте фотографии в разные дни/раз- 
ное время, в разных местах и попробуйте отыскать дату/время и СР5-координаты 
в ЕХ!Е-е. Попробуйте пропатчить СР5-координаты, загрузите ЈРЕС-файл в Facebook 
и посмотрите, куда на карте он поместит вашу фотографию. 


Попробуйте пропатчить любую информацию в МРЗ-файле и посмотрите, как 
на это отреагирует ваш любимый МРЗ-плеер. 


9.8. Дальнейшее чтение 


Pierre СарШоп - ВІаск-рох cryptanalysis of home-made encryption algorithms: а 
practical case study. 


How to Hack an Expensive Camera and Not Get Killed by Your Wife. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


Глава 10 


Прочее 


10.1. Использование 1МОЕ вместо MUL 


В примере вроде листинг.3.21.2 где умножаются два беззнаковых значения, 
компилируется в листинг.3.21.2, где используется IMUL вместо MUL. 


Это важное свойство обоих инструкций: MUL и ІМІ. Прежде всего, они обе 
выдают 64-битное значение если перемножаются два 32-битных, либо же 128- 
битное значение, если перемножаются два 64-битных (максимальное возмож- 
ное произведение в 32-битное среде это 
Oxffffffff*Oxffffffff=0xfffffffe00000001). Но в стандарте Си/Си++нет cno- 
соба доступиться к старшей половине результата, а произведение всегда име- 
ет тот же размер, что и множители. И обе инструкции MUL и IMUL работают 
одинаково, если старшая половина результата игнорируется, т.е., обе инструк- 
ции генерируют одинаковую младшую половину. Это важное свойство способа 
представления знаковых чисел «дополнительный код». 


Так что компилятор с Си/Си+ +может использовать любую из этих инструкций. 


Но IMUL более гибкая чем MUL, потому что она может брать любой регистр как 
вход, в то время как MUL требует, чтобы один из множителей находился в pe- 
гистре АХ/ЕАХ/ВАХ. И даже более того: MUL сохраняет результат в паре EDX: ЕАХ 
в 32-битной среде, либо в ВОХ:ВАХ в 64-битной, так что она всегда вычисляет 
полный результат. И напротив, в IMUL можно указать единственный регистр 
назначения вместо пары, тогда СРО будет вычислять только младшую полови- 
ну, а это быстрее [см. Тогрогп Granlund, Instruction latencies and throughput for 
АМР апа Intel x86 ргосеѕѕогѕ?). 


Учитывая это, компиляторы Си/Си+ +могут генерировать инструкцию ТМИЕ ча- 
ще, чем МОЕ. 


Тем не менее, используя compiler intrinsic, можно произвести беззнаковое умно- 
жение и получить полный результат. Иногда это называется расширенное умно- 
жение (extended multiplication). MSVC для этого имеет intrinsic, которая назы- 


lhttp://yurichev.com/mirrors/x86-timing.pdf] 
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1245 
вается _ emul и еще одну: _ити!1283. ССС предлагает тип _ /пЁ128, и если 
64-битные множители вначале приводятся к 128-битным, затем произведение 
сохраняется в другой переменной _ /пЁ128‚ затем результат сдвигается на 64 
бита право, вы получаете старшую часть результата“. 


10.1.1. Функция Миірім() в Windows 


В Windows есть ф-ция MulDiv() °, это ф-ция производящая одновременно умно- 
жение и деление, она в начале перемножает два 32-битных числа и получает 
промежуточное 64-битное значение, а затем делит его на третье 32-битное 
значение. Это проще чем использовать две compiler intrinsic, так что разра- 
ботчики в Microsoft решили сделать специальную ф-цию для этого. И судя по 
использованию оной, она достаточно востребована. 


10.2. Модификация исполняемых файлов 


10.2.1. х86-код 


Часто необходимые задачи: 


• Часто нужно просто запретить исполнение какой-либо инструкции. И ча- 
ще всего, это можно сделать, заполняя её байтом 0х90 (МОР). 


• Условные переходы, имеющие опкод вроде 74 хх (37), так же могут быть 
заполнены двумя МОР-ами. Также возможно запретить исполнение услов- 
ного перехода записав 0 во второй байт (jump offset). 


Еще одна часто необходимая задача это сделать условный переход все- 
гда срабатывающим: это возможно при помощи записи 0хЕВ вместо опко- 
да, это значит ЈМР. 


• Исполнение функции может быть запрещено, если записать RETN (0хСЗ) в 


её начале. Это справедливо для всех функций кроме stdcall (6.1.2 (стр. 940)). 


При модификации функций stdcall, нужно в начале определить количе- 
ство аргументов (например, отыскав ВЕТМ в этой функции), и использовать 
ВЕТМ с 16-битным аргументом (0хС2). 


• Иногда, запрещенная функция должна возвращать 0 или 1. Это можно 
сделать при помощи MOV EAX, 0 или МОУ EAX, 1, но это слишком много- 
словно. 

Способ получше это XOR EAX, EAX (2 байта 0x31 0хС0) или ХОК EAX, EAX 
/ ІМС EAX (3 байта 0x31 0хС0 0x40). 


ПО может быть защищено от модификаций. Эта защита чаще всего реализует- 
ся путем чтения кода и вычисления контрольной суммы. Следовательно, код 
должен быть прочитан перед тем как защита сработает. Это можно опреде- 
лить установив точку останова на чтение памяти. 


?https://msdn.microsoft.com/en-us/library/d2s81xt0(v=vs.80).aspx 
3https://msdn.microsoft.com/library/3dayytw9%28v=vs . 100%29 . aspx 

4Hanpnmep: http://stackoverflow.com/a/13187798 
5https://msdn.microsoft.com/en-us/library/windows/desktop/aa383718 (у=у5.85) .аѕрх 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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В tracer имеется опция BPM для этого. 


Релоки в исполняемых РЕ-файлах (6.5.2 (стр. 975)) не должны быть тронуты, 
потому что загрузчик Windows перезапишет ваш новый код. 


(Они выделяются серым в Нем, например: илл.1.21). В качестве последней me- 
ры, можно записать ЈМР для обхода релока, либо же придется модифициро- 
вать таблицу релоков. 


10.3. Статистика количества аргументов функций 


Всегда было интересно узнать, какое среднее количество аргументов у ф-ций. 


Я проанализировал множетсво ОШ из 32-битной Windows 7 

(сгурїЗ2.011, mfc71.dll, msvcr100.dll, shell32.dll, user32.dll, d3d11.dll, mshtml.dll, 
msxml6.dll, sqlncli11.dll, wininet.dll, mfc120.dll, msvbvm60.dll, ole32.dll, themeui.dll, 
wmp.dll) (потому что они используют соглашение о вызовах Stdcall, так что ner- 
ко просто дгер-ать вывод дизассемблера используя просто RETN X). 


• без аргументов: = 29% 
e 1 аргумент: ~ 23% 

e 2 аргументов: я 20% 

e З аргументов: = 11% 

• 4 аргументов: = 7% 

• 5 аргументов: = 3% 

• 6 аргументов: = 2% 


e 7 аргументов: = 1% 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Рис. 10.1: Статистика количества аргументов функций 


Это сильно зависит от стиля программирования, и может быть совсем другим 
в другом ПО. 


10.4. Compiler intrinsic 


Специфичная для компилятора функция не являющаяся обычной библиотеч- 
ной функцией. Компилятор вместо её вызова генерирует определенный ма- 
шинный код. Нередко, это псевдофункции для определенной инструкции СРО. 


Например, в языках Си/Си++нет операции циклического сдвига, а во многих 
СРО она есть. Чтобы программисту были доступны эти инструкции, в MSVC есть 


псевдофункции _го@() апа _гоїг0°, которые компилятором напрямую трансли- 
руются B х86-инструкции ROL/ROR. 


Еще один пример это функции позволяющие генерировать 55Е-инструкции 
прямо в коде. 


Полный список intrinsics от MSVC: MSDN. 


10.5. Аномалии компиляторов 


10.5.1. Oracle RDBMS 11.2 and Intel С++ 10.1 


Intel С++ 10.1 которым скомпилирован Oracle RDBMS 11.2 Мпих86, может cre- 
нерировать два JZ идущих подряд, причем на второй JZ нет ссылки ниоткуда. 


6MSDN 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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1248 


Второй JZ таким образом, не имеет никакого смысла. 


Листинг 10.1: Каіі.о from 1ірѕегмег11.а 


.text:08114CF1 loc 8114СЕ1: 
CODE XREF: PGOSF539 kdlimemSer+89A 

.text:08114CF1 з PGOSF539 Ка1 ітетбег+3994 

.text:08114CF1 8B 45 08 тоу eax, [ебр+агд_0] 

.text:08114CF4 ОЕ B6 50 14 тоу2х edx, byte ріг [eax+14h] 

.text:08114CF8 F6 C2 01 test dl, 1 

.text:08114CFB ОЕ 85 17 08 00 00 jnz loc 8115518 

.text:08114D01 85 C9 test ecx, ecx 

.text:08114D03 ОЕ 84 8А 00 00 00 jz loc 8114093 

.text:08114D09 ОЕ 84 09 08 00 00 jz loc 8115518 

.text:08114D0F 8B 53 08 mov edx, [ebx+8] 

.text:08114D12 89 55 FC mov [ebp+var_4], edx 

.text:08114D15 31 СӨ xor eax, eax 

.text:08114D17 89 45 F4 mov [ebp+var С], eax 

.text:08114D1A 50 push eax 

.text:08114D1B 52 push edx 

.text:08114D1C E8 03 54 00 00 call len2nbytes 

.text:08114D21 83 C4 08 add esp, 8 
Листинг 10.2: оттуда же 

. text :0811A2A5 loc 811А2А5: ; CODE XREF: kdliSerLengths+11C 

. text :0811A2A5 ; kdliSerLengths+1C1 

.text:0811A2A5 8B 7D 08 mov edi, [ebp+arg_0] 

.text:0811A2A8 8B 7F 10 mov edi, [edi+10h] 

.text:0811A2AB ОЕ B6 57 14 movzx edx, byte ptr [edi+14h] 

.text:0811A2AF F6 C2 01 test dl, 1 

.text:0811A2B2 75 3E jnz short loc 811А2Е2 

.text:0811A2B4 83 ЕО 01 and eax, 1 

.text:0811A2B7 74 1F jz short loc 811A2D8 

.text:0811A2B9 74 37 jz short loc 811A2F2 

.text:0811A2BB 6A 00 push 0 

.text:0811A2BD FF 71 08 push dword ptr [ecx+8] 

.text:0811A2C0 E8 5F FE FF FF call len2nbytes 


Возможно, это 
зультирующий 


ошибка его кодегенератора, не выявленная тестами (ведь pe- 
код и так работает нормально). 


Еще пример из Oracle RDBMS 11.1.0.6.0 для win32. 


.text:0051FBF8 85 СО 
.text:0051FBFA OF 84 ЗЕ 00 00 00 
.text:0051FC00 74 1р 


test eax, eax 
jz loc_51FC8F 
jz short loc 51ЕС1Е 


10.5.2. MSVC 6.0 


Нашел такое в каком-то старом коде: 


fabs 
fild 


[esp+50h+var_34] 
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fabs 
fxch st(1) ; первая инструкция 
fxch st(1) ; вторая инструкция 


faddp st(1), st 

fcomp [esp+50h+var_3C] 
fnstsw ax 

test ah, 41h 

jz short loc 10004087 


Первая инструкция FXCH просто меняет ST(0) и ST(1), вторая делает то же 
самое, так что обе ничего не делают. Эта программа использует МЕС42.а1, так 
что это может быть MSVC 6.0, 5.0 или даже MSVC 4.2 из 1990-х. 


Эта пара ничего не делает, так что это не было обнаружено тестами компиля- 
тора MSVC. Или я ошибаюсь? 


10.5.3. #012() в MSVC 2012 


Нашел это в стандартной библиотеке С/С++ в MSVS 2012, ф-ция #012() (преоб- 
разование значения типа float в значение типа long). 


public _ 1012 


_ ftol2 proc near 
push ebp 
mov ebp, esp 
sub esp, 20h 
and esp, OFFFFFFFOh 
fld st 
fst dword ptr [esp+18h] 


fistp амога ptr [esp+10h] 
fild qword ptr [esp+10h] 


mov edx, [esp+18h] 

mov eax, [esp+10h] 

test eax, eax 

jz short integer_QnaN_or_zero 


arg_is_not_integer QnaN: 
fsubp st(1), st 


test edx, edx 

jns short positive 

fstp dword ptr [esp] 

mov ecx, [esp] 

xor ecx, 80000000h 

add ecx, 7FFFFFFFh 

adc eax, 0 

mov edx, [esp+14h] 

adc edx, 0 

jmp short localexit 
positive: 

fstp dword ptr [esp] 

mov ecx, [esp] 

add ecx, 7FFFFFFFh 
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sbb eax, 0 

mov edx, [esp+14h] 
sbb edx, 0 

jmp short localexit 


integer_QnaN_or_zero: 


mov edx, [esp+14h] 
test edx, 7FFFFFFFh 
jnz short arg_is_not_integer_QnaN 


fstp dword ptr [esp+18h] ; первая 
fstp dword ptr [esp+18h] ; вторая 


localexit: 
leave 
retn 
_ ftol2 endp 


Обратите внимание на два одинаковых FSTP (float store with pop - сохранение и 
выталкивание из стека) в конце. В начале я думал что это аномалия компилято- 
ра (я коллекционирую такие случаи, как кто-то коллекционирует бабочек), но 
похоже это ф-ция написанная на ассемблере вручную, в библиотеке msvcrt.lib 
имеется объектный файл с этой ф-цией, и мы можем найти в ней такую строку: 
f:\dd\vctools\crt bld\SELF X86\crt\prebuild\tran\i386\ftol2.asm— Bepo- 
ятно это путь к файлу на компьютере разработчика, где была скомпилирована 
библиотека msvcrt.lib. 


Так что, ошибка, опечатка вызванная текстовым редактором, или это сделано 
намеренно? Код ведь работает корректно. 


10.5.4. Итог 


Еще подобные аномалии компиляторов в этой книге: 1.28.2 (стр. 403), 3.8.3 
(стр. 622), 3.16.7 (стр. 676), 1.26.7 (стр. 383), 1.18.4 (стр. 191), 1.28.5 (стр. 425). 


В этой книге здесь приводятся подобные случаи для того, чтобы легче было 
понимать, что подобные ошибки компиляторов все же имеют место быть, и не 
следует ломать голову над тем, почему он сгенерировал такой странный KOL. 


10.6. Itanium 


Еще одна очень интересная архитектура (хотя и почти провальная) это Intel 

Itanium (1А64). Другие ООЕ-процессоры сами решают, как переставлять инструк- 
ции и исполнять их параллельно, EPIC? это была попытка сдвинуть эти реше- 
ния на компилятор: дать ему возможность самому группировать инструкции 

во время компиляции. 


Это вылилось в очень сложные компиляторы. 


Вот один пример 1464-кода: простой криптоалгоритм из ядра Linux: 


7Ехріісіїу Parallel Instruction Computing 
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Листинг 10.3: Linux kernel 3.2.0.4 


#де?іпе ТЕА ROUNDS 32 
#define ТЕА DELTA 0x9e3779b9 


static void tea_encrypt(struct crypto tfm »tfm, u8 жаѕї, const u8 *src) 
{ 
u32 y, z, n, sum = Q; 
u32 КӨ, k1, k2, КЗ; 
struct tea_ctx *сїх = crypto {Тм сх (т); 
const _ 1е32 жіп = (const _ le32 *)src; 
_ le32 жоиї = (_ 1е32 *)dst; 


у = 1е32 їо cpu(in[0]); 
z = le32_to_cpu(in[1]); 
КО = ctx->KEY[0]; 
К1 = сфх->КЕУ[1]; 
k2 = сфх->КЕУ[2]; 
КЗ = сфх->КЕУ[ 3]; 


п = ТЕА ROUNDS; 


while (п-- > 0) { 
sum += TEA DELTA; 
у += ((z << 4) + КО) ^ (2 + sum) ^ ((z >> 5) + kl); 
z += ((у << 4) + k2) ^ (у + sum) ^ ((у >> 5) + КЗ); 


} 
out[0] = сри to 1е32(у); 
out[1] = cpu to 1е32(2); 


} 


И BOT как он был скомпилирован: 


Листинг 10.4: Linux Kernel 3.2.0.4 для Itanium 2 (McKinley) 


0090 | Теа епсгурї: 

0090 [08 80 80 41 00 21 adds r16 = 96, r32 // ptr to сЕх->и 
S KEY[2] 

0096|80 СО 82 00 42 00 adds r8 = 88, r32 // ptr to сЕх->и 
S KEY[0] 

009C|00 00 04 00 nop.i 0 

00A0|09 18 70 41 00 21 adds r3 = 92, r32 // ptr to сїх->2 
S KEY[1] 

00А6|ЕО0О 20 88 20 28 00 194 r15 = [r34], 4 // load z 

00АС|44 06 01 84 adds r32 = 100, г32;; // ріг to сіх->2 
S КЕҮ[3] 

0080 [08 98 00 20 10 10 144 г19 = [г16] // г19=К2 

00B6|00 01 00 00 42 40 mov г16 = г0 // rO always к 
„ contain zero 

0©0ВС|00 08 CA 00 mov.i r2 = аг.1с // save 1с 2 
S register 

00C0|05 70 00 44 10 10 
9E FF FF FF 7F 20 194 r14 = [r34] // load y 
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00СС|92 ЕЗ СЕ 6В movl r17 = ӨхЕЕЕЕЕЕЕЕ9ЕЗ779В9;; // ТЕА DELTA 

0000|08 00 00 00 01 00 пор.т 0 

0006|50 01 20 20 20 00 144 r21 = [r8] // r21=k0 

OODC|FO 09 2А 00 тоу.1 аг.1с = 31 // ТЕА ROUNDS 2 
ъ 15 32 

00ЕО [0А Аб 00 06 10 10 1494 r20 = [13]; ; // г20=К1 

00Е6 [20 01 80 20 20 00 144 r18 = [r32] // г18=КЗ 

00ЕС| 90 00 04 00 пор.1 0 

006 | 

000 | loc РӨ: 

00-009 80 40 22 00 20 айа г16 = г16, г17 // г16=5ит, r172 
S =ТЕА ОЕЁТА 

00-6 |DO 71 54 26 40 80 shladd r29 = r14, 4, r21 // г14=у, г21=/ 
S kO 

ООЕС|АЗ 70 68 52 extr.u r28 = r14, 5, 27;; 

0100|03 FO 40 1С 00 20 add r30 = r16, r14 

0106|B0 E1 50 00 40 40 add r27 = r28, r20;; // r20=k1 

010C |03 F1 ЗС 80 xor r26 = r29, r30;; 

0110|0B C8 6C 34 OF 20 xor r25 = r27, r26;; 

0116 | ҒО 78 64 00 40 00 add r15 = r15, r25 // r15=z 

011С|00 00 04 00 nop.i 0;; 

0120100 00 00 00 01 00 nop.m 0 

0126|80 51 3C 34 29 60 extr.u r24 = r15, 5, 27 

012C|F1 98 4C 80 shladd r11 = r15, 4, r19 // r19=k2 

0130 |08 B8 ЗС 20 00 20 add r23 = r15, г16;; 

0136 |A0 СО 48 00 40 00 add r10 = r24, r18 // г18=КЗ 

0130190 00 04 00 пор.1 0;; 

0140 | 0В 48 28 16 ОЕ 20 xor r9 = r10, г11;; 

0146|60 B9 24 1E 40 00 xor r22 = r23, r9 

014С|00 00 04 00 nop.i 0;; 

0150|11 00 00 00 01 00 nop.m 0 

0156 |E0 70 58 00 40 Аб add r14 = r14, r22 

015С|А0 FF FF 48 br.cloop.sptk.few loc_F0;; 

0160|09 20 ЗС 42 90 15 st4 [r33] = r15, 4 // store z 

0166|00 00 00 02 00 00 nop.m 0 

016C|20 08 AA 00 mov.i ar.lc = г2;; // restore lc к 
S register 

0170|11 00 38 42 90 11 st4 [r33] = r14 // store y 

0176|00 00 00 02 00 80 nop.i 0 

017C|08 00 84 00 br.ret.sptk.many БӨ; ; 


Прежде всего, все инструкции 1А64 сгруппированы в пачки (bundle) из трех nH- 
струкций. Каждая пачка имеет размер 16 байт (128 бит) и состоит из template- 
кода (5 бит) и трех инструкций (41 бит на каждую). 


IDA показывает пачки как 6+6+4 байт — вы можете легко заметить эту повто- 
ряющуюся структуру 

Все 3 инструкции каждой пачки обычно исполняются одновременно, если толь- 
ко у какой-то инструкции нет «стоп-бита». 


Может быть, инженеры Intel и НР собрали статистику наиболее встречающихся 
шаблонных сочетаний инструкций и решили ввести типы пачек (АКА «templates»): 
код пачки определяет типы инструкций в пачке. Их всего 12. Например, нуле- 
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вой тип это МТТ, что означает: первая инструкция это Метогу (загрузка или 
запись в память), вторая и третья это | (инструкция, работающая с целочис- 
ленными значениями). 


Еще один пример, тип 0х1а: MFB: первая инструкция это Memory (загрузка или 
запись в память), вторая это Float (инструкция, работающая с FPU), третья это 
Вгапсһ (инструкция перехода). 


Если компилятор не может подобрать подходящую инструкцию в соответству- 
ющее место пачки, он может вставить МОР: вы можете здесь увидеть инструк- 
ции пор. 1 (МОР на том месте где должна была бы находиться целочисленная 
инструкция) или пор.т (инструкция обращения к памяти должна была нахо- 
диться здесь). 


Если вручную писать на ассемблере, МОР-ы могут вставляться автоматически. 


И это еще не все. Пачки тоже могут быть объединены в группы. Каждая пачка 
может иметь «стоп-бит», так что все следующие друг за другом пачки вплоть 
до той, что имеет стоп-бит, могут быть исполнены одновременно. На практике, 
Itanium 2 может исполнять 2 пачки одновременно, таким образом, исполнять 
6 инструкций одновременно. 


Так что все инструкции внутри пачки и группы не могут мешать друг другу 
(т.е. не должны иметь data һағага-ов). А если это так, то результаты будут 
непредсказуемые. 


На ассемблере, каждый стоп-бит маркируется как две точки с запятой (; ;) no- 
сле инструкции. 


Так, инструкции на [90-ас] могут быть исполнены одновременно: они не меша- 
ют друг другу. Следующая группа: [60-сс]. 


Мы также видим стоп-бит на 10с. Следующая инструкция на 110 также имеет 
стоп-бит. Это значит, что эти инструкции должны исполняться изолированно 
от всех остальных (как в CISC). Действительно: следующая инструкция на 110 
использует результат, полученный от предыдущей (значение в регистре г26), 
так что они не могут исполняться одновременно. Должно быть, компилятор не 
смог найти лучший способ распараллелировать инструкции, или, иными сло- 
вами, загрузить СРО насколько это возможно, отсюда так много стоп-битов и 
МОР-ов. Писать на ассемблере вручную это также очень трудная задача: про- 
граммист должен группировать инструкции вручную. 


У программиста остается возможность добавлять стоп-биты к каждой инструк- 
ции, но это сведет на нет всю мощность ltanium, ради которой он создавался. 


Интересные примеры написания ІА464-кода вручную можно найти в исходниках 
ядра Linux: 


http://lxr.free-electrons.com/source/arch/ia64/lib/. 


Еще пара вводных статей об ассемблере Itanium: [Mike Burrell, Writing Efficient 
Itanium 2 Assembly Code (2010)]8, [рараѕиїга of haquebright, WRITING SHELLCODE 
FOR IA-64 (2001)]3. 


8Также доступно здесь: http://yurichev.com/mirrors/RE/itanium. pdf 
ЭТакже доступно здесь: http://phrack.org/issues/57/5.html 
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Еще одна интересная особенность Itanium это speculative execution (исполне- 
ние инструкций заранее, когда еще не известно, нужно ли это) и бит Мат («пої 


а thing»), отдаленно напоминающий МаМ№-числа: 
MSDN. 


10.7. Модель памяти B 8086 


Разбирая 16-битные программы для MS-DOS или Win16 (8.6.3 (стр. 1070) или 
3.31.5 (стр. 832)), мы можем увидеть, что указатель состоит из двух 16-битных 
значений. Что это означает? О да, еще один дивный артефакт MS-DOS и 8086. 


8086/8088 был 16-битным процессором, но мог адресовать 20-битное адресное 
пространство (таким образом мог адресовать 1МВ внешней памяти). Внешняя 
адресное пространство было разделено между ВАМ (максимум 640КВ), ПЗУ, 
окна для видеопамяти, ЕМ5-карт, и т.д. 


Припомним также что 8086/8088 был на самом деле наследником 8-битного 
процессора 8080. Процессор 8080 имел 16-битное адресное пространство, т.е. 
мог адресовать только 64КВ. И возможно в расчете на портирование старо- 
го ПО, 8086 может поддерживать 64-килобайтные окна, одновременно MHO- 
го таких, расположенных внутри одномегабайтного адресного пространства. 
Это, в каком-то смысле, игрушечная виртуализация. Все регистры 8086 16- 
битные, так что, чтобы адресовать больше, специальные сегментные регистры 
(CS, DS, ES, SS) были введены. Каждый 20-битный указатель вычисляется, NC- 
пользуя значения из пары состоящей из сегментного регистра и адресного 
регистра (например 05:ВХ) вот так: 


real_address = (ѕедтепі тедіѕіет << 4) + address_register 


Например, окно памяти для графики (ЕСА!!, МСА?2) на старых ІВМ РС-совместимых 
компьютерах имело размер 64KB. 


Для доступа к нему, значение 0хА000 должно быть записано в один из сегмент- 
ных регистров, например, в 05. 


Тогда 05:0 будет адресовать самый первый байт видеопамяти, а DS:0xFFFF — 
самый последний байт. 


А реальный адресна 20-битной адресной шине, на самом деле будет от 0хА0000 
до ОХАҒЕҒЕ. 


Программа может содержать жесткопривязанные адреса вроде 0х1234, но ОС 
может иметь необходимость загрузить программу по другим адресам, так что 
она пересчитает значения для сегментных регистров так, что программа бу- 
дет нормально работать, не обращая внимания на то, в каком месте памяти 
она была расположена. 


Так что, любой указатель в окружении старой MS-DOS на самом деле состоял 
из адреса сегмента и адреса внутри сегмента, т.е. из двух 16-битных значений. 


104втор не уверен на 100% здесь 
1lEnhanced Graphics Adapter 
12Video Graphics Array 
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20-битного значения было бы достаточно для этого, хотя, тогда пришлось бы 
вычислять адреса слишком часто: так что передача большего количества ин- 
формации в стеке — это более хороший баланс между экономией места и 
удобством. 


Кстати, из-за всего этого, не было возможным выделить блок памяти больше 
чем 64КВ. 


В 80286 сегментные регистры получили новую роль селекторов, имеющих немно- 
го другую функцию. 


Когда появился процессор 80386 и компьютеры с большей памятью, MS-DOS 
была всё еще популярна, так что появились р05-экстендеры: на самом деле 
это уже был шаг к «серьезным» ОС, они переключали СРО в защищенный ре- 
жим и предлагали куда лучшее АР! для программ, которые всё еще предпола- 
галось запускать в MS-DOS. 


Широко известные примеры это DOS/4GW (игра DOOM была скомпилирована 
под него), Phar Гар, РМОПЕ. 


Кстати, точно такой же способ адресации памяти был и в 16-битной линейке 
Windows 3.x, перед Win32. 


10.8. Перестановка basic block-oB 


10.8.1. Profile-guided optimization 


Этот метод оптимизации кода может перемещать некоторые basic block-n в 
другую секцию исполняемого бинарного файла. 


Очевидно, в функции есть места которые исполняются чаще всего (например, 
тела циклов) и реже всего (например, код обработки ошибок, обработчики ис- 
ключений). 


Компилятор добавляет дополнительный (instrumentation) код в исполняемый 
файл, затем разработчик запускает его с тестами для сбора статистики. 


Затем компилятор, при помощи собранной статистики, приготавливает итого- 
вый исполняемый файл где весь редко исполняемый код перемещен в другую 
секцию. 


В результате, весь часто исполняемый код функции становится компактным, 
что очень важно для скорости исполнения и кэш-памяти. 


Пример из Oracle RDBMS, который скомпилирован при помощи Intel С++: 


Листинг 10.5: огадепетс11.а! (%іп32) 


public _skgfsync 
_skgfsync proc near 


‚ address 0x6030D86A 


db 66h 
nop 
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push ebp 
mov ebp, esp 
mov edx, [ebp+0Ch] 
test edx, edx 
jz short 1ос 60300884 
mov eax, [edx+30h] 
test eax, 400h 
jnz _ VInfreq__skgfsync ; write to log 
continue: 
mov eax, [ebp+8] 
mov edx, [ebp+10h] 
mov dword ptr [eax], 0 
lea eax, [edx+0Fh] 
and eax, OFFFFFFFCh 
mov ecx, [eax] 
cmp ecx, 45726963h 
jnz error ; exit with error 
mov esp, ebp 
pop ebp 
retn 
_skgfsync endp 
; address 0x60B953F0 
_ VInfreq__ skgfsync: 
mov eax, [edx] 
test eax, eax 
jz continue 
mov ecx, [ebp+10h] 
push ecx 
mov ecx, [ebp+8] 
push edx 
push ecx 
push offset ... ; 
"skgfsync(se=0x%x, сїх=0х%х, iov=0x%x)\n" 
push dword ptr [edx+4] 
call dword ptr [eax] ; write to log 
add esp, 14h 
jmp continue 
error: 
mov edx, [ebp+8] 
mov dword ptr [edx], 69AAh ; 27050 "function called with 
invalid FIB/IOV structure" 
mov eax, [eax] 
mov [edx+4], eax 
mov dword ptr [edx+8], OFA4h ; 4004 
mov esp, ebp 
pop ebp 
retn 


; END OF FUNCTION CHUNK FOR 


skgfsync 
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Расстояние между двумя адресами приведенных фрагментов кода почти 9 МБ. 


Весь редко исполняемый код помещен в конце секции кода ОШ -файла, среди 
редко исполняемых частей прочих функций. Эта часть функции была отмечена 
компилятором intel С++ префиксом VInfreg. Мы видим часть функции которая 
записывает в лог-файл (вероятно, в случае ошибки или предупреждения, или 
чего-то в этом роде) которая, наверное, не исполнялась слишком часто, когда 
разработчики Огас!е собирали статистику (если вообще исполнялась). 


Basic block записывающий в лог-файл, в конце концов возвращает управление 
в «горячую» часть функции. 


Другая «редкая» часть — это basic block возвращающий код ошибки 27050. 


В ЕЇЁ-файлах для Шпих весь редко исполняемый код перемещается компиля- 
тором Intel C++ в другую секцию (ёехі. ип1іке1у) оставляя весь «горячий» код 
в секции text.hot. 


С точки зрения reverse епдіпеег-а, эта информация может помочь разделить 
функцию на её основу и части, отвечающие за обработку ошибок. 


10.9. Мой опыт с Нех-Вауѕ 2.2.0 
10.9.1. Ошибки 


Есть несколько ошибок. 


Прежде всего, Нех-Вау$ теряется, когда инструкции РРО перемежаются (коде- 
генератором компилятора) с другими. 


Например: 

f proc near 
lea eax, [esp+4] 
fild dword ptr [eax] 
lea eax, [esp+8] 
fild dword ptr [eax] 
fabs 
fcompp 
fnstsw ax 
test ah, 1 
jz 101 
mov eax, 1 
retn 

101: 
mov eax, 2 
retn 

f endp 


...будет корректно декомпилировано в: 
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signed int cdecl #(5ідпеа int al, signed int a2) 


{ 


signed int result; // eax@2 


if ( fabs((double)a2) >= (double)al ) 
result = 2; 

else 
result = 1; 

return result; 


} 


Но давайте закомментируем одну инструкцию в конце: 


101: 
‚тоу еах, 2 
retn 


...получаем явную ошибку: 


void cdecl f(char al, char a2) 


fabs ( (double)a2); 
} 


Вот еще ошибка: 


extrn f1:dword 
extrn f2:dword 


f proc near 
fld dword ptr [esp+4] 
fadd dword ptr [esp+8] 
fst dword ptr [esp+12] 
fcomp  ds:const_100 
fld dword ptr [esp+16] ; закомментируйте эту 
инструкцию, и всё будет хорошо 
fnstsw ах 


test ah, 1 


jnz short 101 
call f1 
retn 
101: 
са11 #2 
retn 
f endp 
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const 100 аа 42С80000һ ; 100.0 


Результат: 


int _ саесі f(float al, float a2, float a3, float a4) 
{ 
double v5; // st7@1 
char v6; // с0@1 
int result; // eax@2 


v5 = a4; 
if ( v6 ) 

result = f2(v5); 
else 

result = f1(v5); 
return result; 


y переменной v6 тип char, и если вы попытаетесь скомпилировать этот код, 
компилятор выдаст предупреждение о том, что переменная используется пе- 
ред тем, как была инициализирована. 


Еще ошибка: инструкция ЕРАТАМ корректно декомпилируется в аЁап2(), но ap- 
гументы перепутаны. 


10.9.2. Странности 


Нех-Вауѕ часто конвертирует 32-битный тЁв 64-битный. Вот пример: 


f proc near 
mov eax, [esp+4] 
cdq 
xor eax, edx 
sub eax, edx 
; EAX=abs (a1) 
sub eax, [esp+8] 
; EAX=EAX-a2 


; B этом месте, EAX каким-то образом был сконвертирован в 
64-битный (ВАХ) 


сад 
хог eax, edx 
sub eax, edx 


; EAX=abs (abs (а1) -а2) 
retn 


f endp 
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Результат: 


int _ cdecl #(іпї al, int a2) 


{ 
_ int64 v2; // гах@1 


v2 = abs(al) - a2; 
return (НТОМОВЬ (м2) ^ v2) – НТОМОВЬ (v2); 
} 


Возможно, это результат инструкции CDQ? Я не уверен. Так или иначе, если Bb 
видите тип _int64 в 32-битном коде, обращайте внимание. 


Это тоже странно: 


f proc near 
mov esi, [esp+4] 
lea ebx, [esi+10h] 
cmp esi, ebx 
jge short 100 
cmp esi, 1000 
jg short 100 
mov eax, 2 
retn 

100: 
mov eax, 1 
retn 

f endp 

Результат: 


signed int _ cdecl #(5ідпеа int al) 


{ 


signed int result; // eax@3 


if ( _OFSUB_ (al, al + 16) ^ 1 && al <= 1000 ) 


result = 2; 
else 
result = 1; 


return result; 


} 


Kon корректный, но требует ручного вмешательства. 


Иногда Нех-Вауѕ не сокращает деление через умножение: 


f proc near 
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mov eax, [esp+4] 
mov edx, 2AAAAAABh 
imul edx 
mov eax, edx 
retn 

f endp 


Результат: 


int _ cdecl f(int al) 
{ 


} 


return (unsigned _ 11164) (715827883164 ж al) >> 32; 


Это можно сократить вручную. 


Многие из этих странностей можно решить при помощи ручного переупоря- 
дочивания инструкций, перекомпиляции ассемблерного кода, и затем подачи 
его снова на вход Нех-Вауз. 


10.9.3. Безмолвие 


extrn ѕоте Ғипс: мо га 


f proc near 
mov ecx, [esp+4] 
mov eax, [esp+8] 
push eax 
call some_func 
add esp, 4 
; используем ECX 
mov eax, ecx 
retn 

f endp 


Результат: 


int _ cdecl #(іпї al, int a2) 


{ 
int v2; // есх@1 


some_func (a2); 
return v2; 


} 
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Переменная v2 (из ECX) потерялась ...Да, код некорректный (значение в pern- 
стре ECX не сохраняется после вызова другой ф-ции), но для Нех-Вау$ было бы 
неплохо выдать предупреждение. 


Вот еще: 


extrn ѕоте Ёипс: мо га 


f proc near 
call some_func 
jnz 101 
mov eax, 1 
retn 

101: 
mov eax, 2 
retn 

f endp 

Результат: 


signed int #() 


{ 
char м0; // zf@1 
signed int result; // eax@2 


some_func(); 


if ( vO ) 
result = 1; 
else 
result = 2; 


return result; 


И снова, предупреждение бы помогло. 


Так или иначе, если вы видите переменную типа сһаг, которая используется 
без инициализации, это явный признак того, что что-то пошло не таки требует 
ручного вмешательства. 


10.9.4. Запятая 


Запятая в Си/Си++ имеет дурную славу, потому что она приводит к малопо- 
нятному коду. 


Вот простая задача, что возвращает эта ф-ция на Си/Си++? 


int f() 
{ 


}; 


return 1, 2; 
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Это 2: когда компилятор встречает выражение с запятой, он генерирует код, 
исполняющий все подвыражения, и возвращает значение последнего подвы- 
ражения. 


Я видел такое в реальном коде: 


if (сопа) 

return global_var=123, 456; // возвращается 456 
е1ѕе 

return global_var=789, 321; // возвращается 321 


Вероятно, автор хотел сделать код немного короче, без дополнительных фи- 
гурных скобок. Другими словами, запятая позволяет упаковать несколько вы- 
ражений в одно, без формирования блока внутри фигурных скобок. 


Запятая в Си/Си++ близка к begin в Scheme/Racket: https ://docs.racket- lang. 
org/guide/begin.html. 


Вероятно, есть только одно популярное и всеми одобренное использование 
запятой, это в выражении Юг): 


char *<="һе11о‚ world"; 
for(int 1=0; ж5; 5++, i++); 
// i = длина строки 


И 5+ - и i++ исполняются на каждой итерации цикла. 
Читайте больше об этом: https : //5+аскомег?1 ом. сот/д/52550. 


Я пишу всё это потому что Нех-Вау$ выдает код (как минимум, в моем случае) 
очень богатый и на запятые и на $По{-сгсиК-выражения (короткое замыкание). 
Например, вот реальный пример работы Нех-Вауѕ: 


if (а >= Ь || (с= а, (4[а] - е) >> 2 > f) ) 
{ 


Это корректно, оно компилируется и работает, и да поможет вам бог понять, 
как. Вот оно переписанное: 


if (сопа1 || (сотта_ехрг, сопа2)) 


{ 


Здесь работает short-circuit (короткое замыкание): в начале проверяется сопа1, 
и если оно истинно, исполняется тело М), и остальная часть выражения if() 
полностью игнорируется. Если сопа1 ложно, тогда исполняется сотта_ехрг (в 
предыдущем примере, а копируется в с), затем проверяется сопа2. Если сопа2 
истинно, исполняется тело К), или нет. Другими словами, тело if() исполняет- 
ся, если сопа1 истинно, или если сопа2 истинно, но если последнее истинно, 
исполняется также сотта ехрг. 


Теперь вы видите, почему запятая имеет такую славу. 
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Еще о short-circuit (короткое замыкание). Частое заблуждение начинаю- 
щих в том, что подусловия проверяются в произвольном порядке, и это не вер- 
но. В выражении а | b | с, а, Би с исполняются в произвольном порядке, и 
вот почему в Си/Си++ был также добавлен оператор ||, чтобы явно приме- 
нять Short-circuit. 


10.9.5. Типы данных 


Типы данных это проблема для декомпиляторов. 


Нех-Кауѕ может быть слеп к массивам в локальном стеке, если они не были 
корректно обозначены перед декомпиляцией. Та же история с глобальными 
массивами. 


Другая проблема это большие ф-ции, где один и тот же слот в локальном сте- 
ке может использоваться разными переменными во время исполнения ф-ции. 
Нередкий случай, когда слот в начале используется для т{-переменной, затем 
для указателя, затем для переменной типа float. Нех-Вау$ корректно декомпи- 
лирует это: он создает переменную с каким-то типом, затем приводит её к 
другому типу в разных частях ф-ции. Эта проблема решалась мною ручным 
разделением ф-ции на несколько меньших. Просто сделайте локальные пере- 
менные глобальными, ит. д., ит. п. И не забывайте о тестах. 


10.9.6. Длинные и запутанные выражения 


Иногда, во время переписывания, вы можете прийти к длинным и труднопо- 
нятным выражениям в конструкциях /К), вроде: 


if ( v38 && v30 <= 5 && v27 != -1)) && ((! (v38 && v30 <= 5) && v27 != 7 


(! ( 
э -1) || (v24 >= 5 || v26)) && v25) 


Wolfram Mathematica может оптимизировать некоторые из них, используя ф- 
цию Воо\1еапМ1п1т17е[]: 


Іп[1]:= BooleanMinimize[(! (v38 && v30 <= 5 && v27 != -1)) && v38 && v30 <=/2 
м 5 && v25 == 0] 


Out[1]:= v38 && v25 == 0 && v27 == -1 && v30 <= 5 


Есть даже способ еще лучше, с поиском общих подвыражений: 


In[2]:= Ехрегітепёа1` ОріітіғеЕхргеѕѕіоп[(! (v38 && v30 <= 5 && 
№27 != -1)) && ((! (v38 && v30 <= 5) && 
№27 != -1) || (024 >= 5 || v26)) && v25] 
0и+[2]= Ехрегітеп+а1` Ор+ітігедЕхргеѕѕіоп[ 
В1оск[{Сотрі1е` $1, Сотрі1е` $2}, Сотрі1е`$1 = v30 <= 5; 
Сотр11е`$2 = 
v27 != -1; ! (v38 && Сотрі1е` $1 && 
Сотр11е`$2) && ((! (v38 && Compile`$1) && Сотрі1е`$2) || 
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v24 >= 5 || №26) && v25]] 


Mathematica может добавить две новых переменных: Сотр11е` $1 и Сотрі1е` $2, 
значения которых будут использоваться в выражении несколько раз. Так что 
мы можем добавить две дополнительных переменных. 


10.9.7. Правила де Моргана и декомпиляция 


Иногда оптимизатор компилятора может использовать правила де Моргана 
чтобы сделать код короче/быстрее. 


Например, это: 


void f(int а, int b, int с, int а) 


{ 
if (a>0 && b>0) 
printf ("оба a n b больше нуля\п"); 
else if (с>0 && d>0) 
printf ("оба c n а больше нуля\п"); 
е1ѕе 
printf ("что-то еще\п"); 
}; 
... выглядит очень невинно, когда компилируется GCC 5.4.0 x64: 
; int fastcall f(int a, int b, int c, int d) 
public f 
f proc near 
test edi, edi 
jle short loc 8 
test esi, esi 
jg short loc_30 
loc 8: 
test edx, edx 
jle short loc_20 
test ecx, ecx 
jle short loc_20 
mov edi, offset s ; "оба c n 4 больше нуля" 
jmp puts 
loc 20 
mov edi, offset aSomethingElse ; "что-то еще" 
jmp puts 
loc 30 
mov edi, offset aAAndBPositive ; "оба а и b больше нуля" 
loc_35 
jmp puts 
f endp 
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... тоже выглядит невинно, но Нех-Кау$ 2.2.0 не может видеть, что на самом 
деле в исходном коде было использовано две операции И: 


int _ fastcall f(int а, int b, int с, int а) 
{ 

int result; 

if (а> 0 && 6 > Ө ) 

{ 


result = риёѕ ("оба а и b больше нуля"); 


} 
else і? (с <= 0 || а <= 0) 
{ 
result = риїѕ ("что-то еще"); 
} 
else 
{ 
result = puts("o6a с n d больше нуля"); 
} 
return result; 
} 
Выражение с <= 0 || d <= Ө это обратное от с>0 && d>0, T.K., AUB = An B 
и AnB = Au В, Иными словами, !(сопа1 || сопа2) == ! сопаї && ! сопа2 и 
| (cond1 && сопа2) == !cond1 || !cond2. 


Эти правила полезно держать в голове, потому что эта оптимизация компиля- 
тора используется почти везде. 


Иногда полезно инвертировать условие, чтобы понять код лучше. Это фраг- 
мент реального кода декомпилированный при помощи Hex-Rays: 


for (int 1=0; 1<12; i++) 


{ 
if (\1[1-12] != 0.0 || у1[1] != 0.0) 
{ 
v108=min(v108, (#1оаї)м0[1ж24 -2]); 
v113=max(v113, (Т1оаї)уО[1*24]); 
}; 
} 


... его можно переписать так: 


for (int 1=0; 1<12; i++) 


{ 
if (\1[1-12] == 0.0 && у1[1] == 0.0) 
continue; 
\198=т1п (\108, (Т\оа*)\0[1*24 -2]); 
ү113=тах (113, (Т1оаї)уО[1*24]); 
} 


Что лучше? Пока не знаю, но для лучшего понимания, хорошо бы посмотреть 
на обе версии. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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10.9.8. Мой план 


• Разделить большие ф-ции (и не забывать о тестах). Иногда очень полезно 
формировать новые ф-ции из тел циклов. 


e Проверяйте/устанавливайте тип данных для переменных, массивов, и т. 
д. 


• Если вы видите странный результат, висящую переменную (которая ис- 
пользуется перед инициализацией), попробуйте поменять инструкции вруч- 
ную, перекомпилировать и снова подать на вход Нех-Ваус-у. 


10.9.9. Итог 


Тем не менее, качество Нех-Вау$ 2.2.0 очень и очень хорошее. Он делает жизнь 
легче. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


Глава 11 


Что стоит почитать 


11.1. Книги и прочие материалы 


11.1.1. Reverse Engineering 


• Eldad Eilam, Reversing: Secrets of Reverse Engineering, (2005) 


Bruce Dang, Alexandre Gazet, Elias Bachaalany, Sebastien Josse, Practical Reverse 
Engineering: x86, x64, ARM, Windows Kernel, Reversing Tools, and Obfuscation, 
(2014) 


Michael Sikorski, Andrew Honig, Practical Malware Analysis: The Hands-On Guide 
to Dissecting Malicious Software, (2012) 


Chris Eagle, IDA Pro Book, (2011) 


Reginald Wong, Mastering Reverse Engineering: Re-engineer your ethical hacking 
skills, (2018) 


(Старое, но всё равно интересное) Pavol Cerven, Crackproof Your Software: Protect 
Your Software Against Crackers, (2002). 


Дмитрий Скляров — “Искусство защиты и взлома информации”. 


Также, книги Криса Касперски. 


11.1.2. Windows 


e Mark Russinovich, Microsoft Windows Internals 

• Peter Ferrie - The “Ultimate” Anti-Debugging Reference! 
Блоги: 

e Microsoft: Raymond Chen 


e nynaeve.net 


lhttp://pferrie.host22.com/papers/antidebug.pdf 
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11.1.3. Си/Си++ 


• Брайан Керниган, Деннис Ритчи, Язык программирования Си, второе изда- 
ние, (1988, 2009) 


e ISO/IEC 9899:ТСЗ (С C99 standard), (2007)? 

• Bjarne Stroustrup, The C++ Programming Language, 4th Edition, (2013) 
• Стандарт Си++113 

• Agner Род, Optimizing software т С++ (2015)* 

e Marshall Cline, С++ FAQ? 


• Денис Юричев, Заметки о языке программирования Си/Си+ +6 


JPL Institutional Coding Standard for the С Programming Language’ 
• Евгений Зуев — Редкая профессия? 


11.1.4. х86 / х86-64 


• Документация от Intel’ 

• Документация от АМ0!0 

• Agner Fog, Тһе тісгоагсһіќесіиге of Intel, AMD апа VIA CPUs, (2016)11 

• Agner Fog, Calling conventions (2015)12 

Intel® 64 and IA-32 Architectures Optimization Reference Manual, (2014) 
• Software Optimization Guide for AMD Family 16h Processors, (2013) 


Немного устарело, но всё равно интересно почитать: 


Michael Abrash, Graphics Programming Black Book, 199713 (он известен своей pa- 
ботой над низкоуровневой оптимизацией в таких проектах Kak Windows МТ 3.1 
и іа Quake). 


2также доступно здесь: һїїр: //ммм . ореп- std.org/jtc1/sc22/WG14/www/docs/n1256.pdf 
ЗТакже доступно здесь: һїїр: //ммм . ореп- ѕ+а.огд/јс1/5с22/921/0сѕ/рарегѕ/2013/п3690. 
рат. 
4Также доступно здесь: http://agner.org/optimize/optimizing_cpp.pdf. 
5Также доступно здесь: http://www. parashift.com/c++-faq-lite/index.html 
6Также доступно здесь: http://yurichev.com/C-book.html 
7Также доступно здесь: https : / /уигісһеу. сот/тіггогѕ/С/ЈРІ_ Содіпо Ѕ+апдага С.рат 
8Также доступно здесь: https : / /уигісһеу. сот/тіггогѕ/С++/Вейкауа ргоѓеѕѕіуа.рат 
ЭТакже доступно здесь: http://www. іпте1. сот/ сопепї/ммм/иѕ /еп/ргосеѕ50г5/ 
architectures-software-developer-manuals.html 
10Также доступно здесь: http://developer .amd.com/resources/developer-guides-manuals/ 
Также доступно здесь: һїїр: //адпег. ого/орќітіғе/тісгоагсһіёесїиге. pdf 
12Также доступно здесь: http://www.agner.org/optimize/calling_conventions . рат 
13Также доступно здесь: https : / /діїһир.сот/ јадгедогу/аргаѕһ- Б1аск- Боок 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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11.1.5. АКМ 
• Документация от ARM14 
• АВМ(В) Architecture Reference Manual, ARMv7-A апа ARMv7-R edition, (2012) 


• [ARM Architecture Reference Manual, ARMv8, for ARMv8-A architecture profile, 
(2013)]15 


e Advanced RISC Machines Ltd, Тре ARM Cookbook, (1994)16 


11.1.6. Язык ассемблера 


Richard Blum — Professional Assembly Language. 


11.1.7. Java 


[Tim Lindholm, Frank Yellin, Gilad Bracha, Alex Buckley, The Java(R) Virtual Machine 
Specification / Java SE 7 Edition] ”. 


11.1.8. UNIX 
Eric S. Raymond, The Art of UNIX Programming, (2003) 


11.1.9. Программирование 
• Brian W. Kernighan, Rob Pike, Practice of Programming, (1999) 
• Александр Шень"8 


• Henry S. Warren, Наскег’5 Delight, (2002). Некоторые люди говорят, что трю- 
ки и хаки из этой книги уже не нужны, потому что годились только для 
В15С-процессоров, где инструкции перехода слишком дорогие. Тем не Mme- 
нее, всё это здорово помогает лучше понять булеву алгебру и всю мате- 
матику рядом. 


11.1.10. Криптография 
e Bruce Schneier, Applied Cryptography, (John Wiley & Sons, 1994) 
• (Free) Мп, Crypto 1011? 
e (Free) Dan Boneh, Victor Shoup, A Graduate Course in Applied Cryptography”. 


14Также доступно здесь: http://infocenter.arm.com/help/index.jsp?topic=/com.arm.doc. 
subset.architecture.reference/index.html 

15Также доступно здесь: http://yurichev.com/mirrors/ARMv8-A Architecture Reference_ 
Manual_(Issue_A.a).pdf 

16Также доступно здесь: https ://yurichev .com/ref/ARM%20Cookbook%20 (1994) / 

17Также доступно здесь: https://docs.oracle.com/javase/specs/jvms/se7/jvms7.pdf; http:// 
docs.oracle.com/javase/specs/jvms/se7/html/ 

l8http://imperium. lenin. ru/~verbit/Shen.dir/shen-progra.html 

19Также доступно здесь: https ://www.crypto1l01.io/ 

20Также доступно здесь: һіїрѕ ://crypto.stanford.edu/~dabo/cryptobook/ 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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11.1.11. Что-то попроще 


Для тех кто находит эту книгу слишком трудной и технической, вот еще более 
легкое введение в низкоуровневые внутренности компьютерных устройств: 
Чарльз Петцольд - “Код: тайный язык информатики” (также переведена на 
русский). 


И еще книга комиксов (1983-й год) для детей?1, посвященная процессорам 
6502 и 780. 


214 рз : //уигісһеу. сот/тіггогѕ/тасһіпе- code- ог-Бед1ппег$ . рае 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


Глава 12 


Сообщества 


Имеются два отличных субреддита на reddit.com посвященных ВЕ": 
геааії.соту/г/КемегѕеЕпдіпеегіпд/ и гедай.сот/г/гета{Й 


Имеется также часть сайта Stack Exchange посвященная ВЕ: 
reverseengineering.stackexchange.com. 


Ha IRC есть каналы ##re n ##asm Libera. 


lReverse Engineering 
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Послесловие 
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12.1. Вопросы? 


Совершенно по любым вопросам вы можете не раздумывая писать автору: 
мои адреса Есть идеи о том, что ещё можно добавить в эту книгу? Пожалуй- 
ста, присылайте мне информацию о замеченных ошибках (включая граммати- 
ческие), и т. д. 


Автор много работает над книгой, поэтому номера страниц, листингов, и т. 
д., очень часто меняются. Пожалуйста, в своих письмах мне не ссылайтесь на 
номера страниц и листингов. Есть метод проще: сделайте скриншот страницы, 
затем в графическом редакторе подчеркните место, где вы видите ошибку, и 
отправьте автору. Так он может исправить её намного быстрее. Ну а если вы 
знакомы с git и АТЕХ, вы можете исправить ошибку прямо в исходных текстах: 


https://beginners.re/src/. 


Не бойтесь побеспокоить меня написав мне о какой-то мелкой ошибке, даже 
если вы не очень уверены. Я всё-таки пишу для начинающих, поэтому мнение 
и комментарии именно начинающих очень важны для моей работы. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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„1. X86 


„1.1. Терминология 
Общее для 16-bit (8086/80286), 32-bit (80386, ит. д.), 64-bit. 


byte 8-бит. Для определения переменных и массива байт используется ди- 
ректива ассемблера ОВ. Байты передаются в 8-битных частях регистров: 
AL/BL/CL/DL/AH/BH/CH/DH/SIL/DIL/R*L. 


мога 16-бит. —"— директива ассемблера DW. Слова передаются в 16-битных 
частях регистров: 
AX/BX/CX/DX/SI/DI/R*W. 


double word («dword») 32-бит. —"— директива ассемблера DD. Двойные слова 
передаются в регистрах (x86) или в 32-битных частях регистров (x64). В 
16-битном коде, двойные слова передаются в парах 16-битных регистров. 


ачаа мога («а\мога») 64-бит. —"— директива ассемблера ОО. В 32-битной cpe- 
де, учетверенные слова передаются в парах 32-битных регистров. 


tbyte (10 байт) 80-бит или 10 байт (используется для регистров IEEE 754 FPU). 
paragraph (16 байт) — термин был популярен в среде MS-DOS. 


Типы данных с той же шириной (BYTE, WORD, DWORD) точно такие же и в 
Windows АРІ. 


.1.2. Регистры общего пользования 


Ко многим регистрам можно обращаться как к частям размером в байт или 
16-битное слово. 


Это всё — наследие от более старых процессоров Intel (вплоть до 8-битного 
8080), все еще поддерживаемое для обратной совместимости. 


Старые 8-битные процессоры 8080 имели 16-битные регистры, разделенные 
на две части. 


Программы, написанные для 8080 имели доступ к младшему байту 16-битного 
регистра, к старшему байту или к целому 16-битному регистру. 


Вероятно, эта возможность была оставлена в 8086 для более простого порти- 
рования. B RISC процессорах, такой возможности, как правило, нет. 


Регистры, имеющие префикс R- появились только в х86-64, а префикс E- —в 
80386. 


Таким образом, В-регистры 64-битные, а Е-регистры — 32-битные. 
В х86-64 добавили еще 8 СРВ: В8-В15. 


N.B.: В документации от Intel, для обращения к самому младшему байту к име- 
ни регистра нужно добавлять суффикс L: R8L, но IDA называет эти регистры 
добавляя суффикс В: АЗВ. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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ВАХ/ЕАХ/АХ/АЁ 


Номер байта: 
7-й | 6-й | 5-й | 4-й | 3-й | 2-й | 1-й | 0-й 
ВАХ»64 


АН | AL 


АКА аккумулятор. Результат функции обычно возвращается через этот регистр. 


ВВХ/ЕВХ/ВХ/ВЕ. 
Номер байта: 
7-й | 6-й | 5-й | 4-й | 3-й | 2-й | 1-й | 0-й 
АВХх6 
ЕВХ 

ВХ 

ВН | BL 
RCX/ECX/CX/CL 


Номер байта: 
7-й | 6-й | 5-й | 4-й | 3-й | 2-й | 1-й | 0-й 
RCX*54 


CH | CL 


АКА счетчик: используется в этой роли в инструкциях с префиксом ВЕР и B 
инструкциях сдвига (5Н1/5НА/Ах1/ВхВ). 


RDX/EDX/DX/DL 


Номер байта: 
7-й | 6-й | 5-й | 4-й | 3-й | 2-й | 1-й | 0-й 
RDX*54 


RSI/ESI/SI/SIL 


Номер байта: 
7-й | 6-й | 5-й | 4-й | 3-й | 2-й | 1-й | 0-й 
А516 


SI 
$$“ 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


1278 
АКА «source index». Используется как источник в инструкциях ВЕР MOVSx, ВЕР 
СМР5х. 


RDI/EDI/DI/DIL 


Номер байта: 
7-й | 6-й | 5-й | 4-й | 3-й | 2-й | 1-й | 0-й 
ВО1х64 


DI 
DI | +64 


AKA «destination index». Используется как указатель на место назначения в 
инструкции ВЕР MOVSx, ВЕР 5ТО$5х. 


R8/R8D/R8W/R8L 


Номер байта: 
7-й | 6-й | 5-й | 4-й | 3-й | 2-й | 1-й | 0-й 
R8 


R9/R9D/R9W/R9L 


Номер байта: 
7-й | 6-й | 5-й | 4-й | 3-й | 2-й | 1-й | 0-й 


R9 
R9D 
R9W 
R9L 
R10/R10D/R10W/R10L 
Номер байта: 
7-й | 6-й | 5-й | 4-й | 3-й | 2-й | 1-й | 0-й 
R10 
R10D 
RIOW 
R10L 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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В11/В110/В11\//В 11 
Номер байта: 
7-й | 6-й | 5-й | 4-й | 3-й | 2-й | 1-й | 0-й 
R11 
R11D 
К11М 
R11L 
R12/R12D/R12W/R12L 
Номер байта: 
7-й | 6-й | 5-й | 4-й | 3-й | 2-й | 1-й | 0-й 
R12 
R12D 
R12W 
R12L 
R13/R13D/R13W/R13L 
Номер байта: 
7-й | 6-й | 5-й | 4-й | 3-й | 2-й | 1-й | 0-й 
R13 
R13D 
RI3W 
RI3L 
R14/R14D/R14W/R14L 
Номер байта: 
7-й | 6-й | 5-й | 4-й | 3-й | 2-й | 1-й | 0-й 
R14 
R14D 
R14W 
R14L 
R15/R15D/R15W/R15L 
Номер байта: 
7-й | 6-й | 5-й | 4-й | 3-й | 2-й | 1-й | 0-й 
R15 
R15D 
RI5W 
RI5L 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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RSP/ESP/SP/SPL 


Номер байта: 
7-й | 6-й | 5-й | 4-й | 3-й | 2-й | 1-й | 0-й 
RSP 


ESP 


SP 


SPL 


АКА указатель стека. Обычно всегда указывает на текущий стек, кроме тех 
случаев, когда он не инициализирован. 


ВВР/ЕВР/ВР/ВРЕ 


Номер байта: 
7-й | 6-й | 5-й | 4-й | 3-й | 2-й | 1-й | 0-й 
АВР 


ВР 
BPL 


AKA frame pointer. Обычно используется для доступа к локальным переменным 
функции и аргументам, Больше о нем: (1.12.1 (стр. 92)). 


КІР/ЕІР/ЛІР 


Номер байта: 
7-й | 6-й | 5-й | 4-й | 3-й | 2-й | 1-й | 0-й 
RIp*54 


AKA «instruction pointer» 2. Обычно всегда указывает на инструкцию, которая 
сейчас будет исполняться Напрямую модифицировать регистр нельзя, хотя 
можно делать так (что равноценно): 


MOV EAX, 
JMP EAX 


Либо: 


PUSH value 
RET 


CS/DS/ES/SS/FS/GS 


16-битные регистры, содержащие селектор кода (CS), данных (DS), стека (55). 


2Иногда называется также «program counter» 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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FS в міп32 указывает на TLS, а в Linux на эту роль был выбран GS. Это сде- 
лано для более быстрого доступа к TLS и прочим структурам там вроде ТІВ. 
В прошлом эти регистры использовались как сегментные регистры (10.7 (стр. 1254)). 


Регистр флагов 


АКА EFLAGS. 
Бит (маска) Аббревиатура (значение) Описание 
0 (1) СЕ (Саггу) Флаг переноса. 
Инструкции СЕС/5ТС/СМС используются 
для установки/сброса/инвертирования этого флага 
2 (4) РЕ (Parity) Флаг четности (1.25.7 (стр. 300)). 
4 (0х10) АЕ (Adjust) Существует только для работы с ВСО-числами 
6 (0х40) ZF (Zero) Выставляется в 0 
если результат последней операции был равен 0. 
7 (0х80) SF (Sign) Флаг знака. 
8 (0х100) ТЕ (Тгар) Применяется при отладке. 
Если включен, то после исполнения 
каждой инструкции 
будет сгенерировано исключение. 
9 (0х200) IF (Interrupt enable) Разрешены ли прерывания. 
Инструкции СШ/ЅТІ используются 
для установки/сброса этого флага 
10 (0х400) DF (Direction) Задается направление для инструкций 
ВЕР MOVSx/CMPSx/LODSx/SCASx. 
Инструкции CLD/STD используются 
для установки/сброса этого флага 
См.также: 3.24 (стр. 801). 
11 (0x800) OF (Overflow) Переполнение. 
12, 13 (0х3000) | IOPL (МО privilege 1е\е!) 285 
14 (0х4000) МТ (Nested {а$К)'?85 
16 (0х10000) ВЕ (Везите) 88 Применяется при отладке. 
Если включить, 
СРО проигнорирует хардварную 
точку останова в DRX. 
17 (0х20000) VM (Virtual 8086 mode)” 
18 (0x40000) AC (Alignment сһеск)' 5б 
19 (0x80000) VIF (Virtual пеггир®) 86 
20 (0х100000) | VIP (Virtual interrupt pending)”®® 
21 (0x200000) ID (Identification) 286 


Остальные флаги зарезервированы. 


.1.3. Регистр 


ы ЕРО 


8 80-битных регистров работающих как стек: $Т(0)-5Т(7). N.B.: IDA называет 
5Т(0) просто ST. Числа хранятся в формате IEEE 754. 


Формат значения long double: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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экспонента | 


мантисса 


(5 — знак, | — целочисленная часть ) 


Регистр управления 


Регистр, при помощи которого можно задавать поведение FPU. 


Бит Аббревиатура (значение) Описание 
0 ІМ (Invalid operation Mask) 
1 DM (Denormalized operand Mask) 
2 ZM (Zero divide Mask) 
3 OM (Overflow Mask) 
4 UM (Underflow Mask) 
5 PM (Precision Mask) 
7 IEM (Interrupt Enable Mask) Разрешение исключений, 
по умолчанию 1 (запрещено) 
8, 9 РС (Precision Control) Управление точностью 
00 — 24 бита (REAL4) 
10 — 53 бита (ВЕАЁ8) 
11 — 64 бита (REAL10) 
10, 11 | ВС (Rounding Control) Управление округлением 
00 — (по умолчанию) округлять к ближайшему 
01 — округлять к -00 
10 — округлять к +оо 
11 — округлять к 0 
12 IC (Infinity Control) О — (по умолчанию) 


считать +оо и -oœ за беззнаковое 
1 — учитывать и +оо И -00 


Флагами РМ, ОМ, ОМ, 2М, ОМ, М задается, 


чае соответствующих ошибок. 


Регистр статуса 


Регистр только для чтения. 


генерировать ли исключения в слу- 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Бит Аббревиатура (значение) | Описание 
15 В (Ви<у) Работает ли сейчас ЕРО (1) 
или закончил и результаты готовы (0) 
14 СЗ 
13, 12,11 | ТОР указывает, какой сейчас регистр является нулевым 
10 С2 
9 С1 
8 СО 
7 IR (Interrupt Request) 
6 SF (Stack Fault) 
5 P (Precision) 
4 U (Underflow) 
3 O (Overflow) 
2 Z (Zero) 
1 D (Denormalized) 
0 І (Invalid operation) 


Биты SF, P, U, O, Z, D, | сигнализируют об исключениях. 
О СЗ, C2, C1, СО читайте больше тут: (1.25.7 (стр. 300)). 


М.В.:когда используется регистр $5Т(х), FPU прибавляет > к ТОР по модулю 8 и 
получается номер внутреннего регистра. 


Слово “тэг” 


Этот регистр отражает текущее содержимое регистров чисел. 


Бит Аббревиатура (значение) 
15, 14 | Та9(7) 
13, 12 | Тад(6 
11, 10 | Та9(5 
9,8 Та9(4 


Каждый тэг содержит информацию о физическом регистре FPU (В(х)), но не 
логическом ($Т(х)). 


Для каждого тэга: 


• 00 — Регистр содержит ненулевое значение 


• 01 — Регистр содержит 0 


e 10 — Регистр содержит специальное число (МАМЗ, œ, или денормализо- 
ванное число) 


* 11 — Регистр пуст 


3Not а Number 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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.1.4. Регистры SIMD 
Регистры ММХ 
8 64-битных регистров: ММО..ММ7. 


Регистры 55Е и АМХ 


SSE: 8 128-битных регистров: ХММО..ХММ7. В х86-64 добавлено еще 8 pern- 
стров: ХММ8..ХММ15. 


AVX это расширение всех регистры до 256 бит. 


.1.5. Отладочные регистры 
Применяются для работы ст.н. аппаратными точками останова (hardware breakpoints). 
e ОКО — адрес точки останова #1 
e DR1 — адрес точки останова #2 
e ОВ2 — адрес точки останова #3 
• DR3 — адрес точки останова #4 
e DR6 — здесь отображается причина останова 


e ОВ7 — здесь можно задать типы точек останова 


ркб 


Бит (маска) | Описание 


0 (1) ВО — сработала точка останова #1 
1 (2) В1 — сработала точка останова #2 
2 (4) В2 — сработала точка останова #3 
3 (8) ВЗ — сработала точка останова #4 


13 (0х2000) | BD — была попытка модифицировать один из регистров DRX. 
может быть выставлен если бит СО выставлен. 


14 (0х4000) | BS — точка останова типа single step (флаг ТЕ был выставлен в EFLAGS). 
Наивысший приоритет. Другие биты также могут быть выставлены. 


15 (0х8000) | ВТ (флаг переключения задачи) 


М.В. Точка останова single step это срабатывающая после каждой инструкции. 
Может быть включена выставлением флага ТЕ в EFLAGS (.1.2 (стр. 1281)). 


DR7 


В этом регистре задаются типы точек останова. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Бит (маска) 


Описание 


0 (1) [0 — разрешить точку останова #1 для текущей задачи 
1 (2) G0 — разрешить точку останова #1 для всех задач 

2 (4) 11 — разрешить точку останова #2 для текущей задачи 
3 (8) G1 — разрешить точку останова #2 для всех задач 

4 (0х10) [2 — разрешить точку останова #3 для текущей задачи 
5 (0х20) G2 — разрешить точку останова #3 для всех задач 

6 (0х40) L3 — разрешить точку останова #4 для текущей задачи 
7 (0х80) G3 — разрешить точку останова #4 для всех задач 

8 (0х100) ЕЕ — не поддерживается, начиная с P6 

9 (0х200) СЕ — не поддерживается, начиная с P6 

13 (0х2000) GD — исключение будет вызвано если какая-либо инструкция MOV 


попытается модифицировать один из ОВх-регистров 


16,17 (0х30000) точка останова #1: R/W — тип 
18,19 (0хСс0000) точка останова #1: ГЕМ — длина 
20,21 (0х300000) точка останова #2: R/W — тип 
22,23 (0хС00000) точка останова #2: ІЕМ — длина 
24,25 (0х3000000) точка останова #3: R/W — тип 
26,27 (0хС000000) точка останова #3: ГЕМ — длина 
28,29 (0х30000000) | точка останова #4: R/W — тип 
30,31 (0хС0000000) | точка останова #4: LEN — длина 


Так задается тип точки останова (В/\\/): 


* 00 — исполнение инструкции 


• 01 — запись в память 


• 10 — обращения к 1/0-портам (недоступно из user-mode) 


• 11 — обращение к памяти (чтение или запись) 


М.В.: отдельного типа для чтения из памяти действительно нет. 


Так задается длина точки останова (ГЕМ): 


• 00 — 1 байт 
• 01 — 2 байта 


• 10 — не определено для 32-битного режима, 8 байт для 64-битного 


• 11 — 4 байта 


.1.6. Инструкции 


Инструкции, отмеченные как (М) обычно не генерируются компилятором: если 
вы видите её, очень может быть это вручную написанный фрагмент кода, либо 
это т.н. compiler intrinsic (10.4 (стр. 1247)). 


Только наиболее используемые инструкции перечислены здесь Обращайтесь 
к 11.1.4 (стр. 1269) для полной документации. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Нужно ли заучивать опкоды инструкций на память? Нет, только те, которые 


часто используются для модификации кода (10.2.1 (стр. 1245)). Остальные за- 
поминать нет смысла. 


Префиксы 


LOCK используется чтобы предоставить эксклюзивный доступ к памяти в MHO- 
гопроцессорной среде. Для упрощения, можно сказать, что когда исполня- 
ется инструкция с этим префиксом, остальные процессоры в системе оста- 
навливаются. Чаще все это используется для критических секций, сема- 
форов, мьютексов. Обычно используется с ADD, AND, BTR, BTS, СМРХСНС, 
OR, ХАОО, XOR. Читайте больше о критических секциях (6.5.4 (стр. 1011)). 


ВЕР используется с инструкциями МО\5х и 5ТО5х: инструкция будет испол- 
няться в цикле, счетчик расположен в регистре СХ/ЕСХ/ВСХ. Для более де- 
тального описания, читайте больше об инструкциях МО\5х (.1.6 (стр. 1289)) 
и STOSx (.1.6 (стр. 1292)). 


Работа инструкций с префиксом ВЕР зависит от флага DF, он задает Ha- 
правление. 


ВЕРЕ/ВЕРМЕ (АКА REPZ/REPNZ) используется с инструкциями СМР5х и SCASXx: 
инструкция будет исполняться в цикле, счетчик расположен в регистре 
СХ/ЕСХ/ВСХ. Выполнение будет прервано если ZF будет 0 (ВЕРЕ) либо если 
ДЕ будет 1 (REPNE). 


Для более детального описания, читайте больше об инструкциях СМР5х 
(.1.6 (стр. 1293)) и SCASx (.1.6 (стр. 1291)). 


Работа инструкций с префиксами ВЕРЕ/ВЕРМЕ зависит от флага ПЕ, он за- 
дает направление. 


Наиболее часто используемые инструкции 
Их можно заучить в первую очередь. 


ADC (add with carry) сложить два значения, инкремент если выставлен флаг СЕ. 
АОС часто используется для складывания больших значений, например, 
складывания двух 64-битных значений в 32-битной среде используя две 
инструкции ADD и ADC, например: 


; работа с 64-битными значениями: прибавить vall к val2. 

; .1о означает младшие 32 бита, .һ1 - старшие 

ADD ма11.10, ма12.10 

ADC ма11.һі, ма12.һі ; использовать СЕ выставленный или очищенный в 
предыдущей инструкции 


Еще один пример: 1.34 (стр. 506). 
ADD сложить два значения 


АМО логическое «И» 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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CALL вызвать другую функцию: 
PUSH address_after CALL instruction; JMP label 


СМР сравнение значений и установка флагов, то же что n SUB, но только без 
записи результата 


DEC декремент. В отличие от других арифметических инструкций, DEC не Mo- 
дифицирует флаг СЕ. 


1МОЕ умножение с учетом знаковых значений ІМЏІ часто используется вместо 
MUL, читайте об этом больше: 10.1 (стр. 1244). 


ІМС инкремент. В отличие от других арифметических инструкций, INC не mo- 
дифицирует флаг СЕ. 


ЈСХ2, ЈЕСХ2, JRCXZ (М) переход если СХ/ЕСХ/ВСХ=0 
JMP перейти на другой адрес. Опкод имеет т.н. jump offset. 
)сс (где сс — condition code) 


Немало этих инструкций имеют синонимы (отмечены с АКА), это сделано 
для удобства. Синонимичные инструкции транслируются в один и тот же 
опкод. Опкод имеет т.н. jump offset. 


JAE АКА JNC: переход если больше или равно (беззнаковый): СЕ=0 
ЈА АКА ]МВЕ: переход если больше (беззнаковый): СЕ=0 и ZF=0 

JBE переход если меньше или равно (беззнаковый): СЕ=1 или ZF=1 
]В АКА ЈС: переход если меньше (беззнаковый): СЕ=1 

)С АКА )В: переход если СЕ=1 

ЈЕ АКА JZ: переход если равно или ноль: 2Е=1 

ЈСЕ переход если больше или равно (знаковый): 5Е=ОЕ 

JG переход если больше (знаковый): 2Е=0 и 5Е=ОР 

JLE переход если меньше или равно (знаковый): ХЕ=1 или SF+OF 

JL переход если меньше (знаковый): ЅЕ+ОЕ 

)МАЕ АКА )С: переход если не больше или равно (беззнаковый) СЕ=1 
JNA переход если не больше (беззнаковый) СЕ=1 и Е =1 

]МВЕ переход если не меньше или равно (беззнаковый): СЕ=0 и 2Е=0 
JNB АКА ]МС: переход если не меньше (беззнаковый): СЕ=0 

JNC АКА JAE: переход если СЕ=0, синонимично JNB. 

JNE АКА ] М7: переход если не равно или не ноль: ZF=0 

]МСЕ переход если не больше или равно (знаковый): ЅЕ+ОЕ 

JNG переход если не больше (знаковый): ZF=1 или ЅЕ+0Е 


]МЕЕ переход если не меньше (знаковый): ZF=0 и SF=0F 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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]МЕ переход если не меньше (знаковый): 5Е=ОЁЕ 

)МО переход если не переполнение: ОЕ=0 

JNS переход если флаг SF сброшен 

JNZ АКА JNE: переход если не равно или не ноль: ZF=0 
ЈО переход если переполнение: OF=1 

JPO переход если сброшен флаг РЕ (Jump Parity Оаа) 
ЈР АКА JPE: переход если выставлен флаг РЕ 

JS переход если выставлен флаг SF 

JZ АКА ЈЕ: переход если равно или ноль: ZF=1 


ГАНЕ скопировать некоторые биты флагов в АН: 
7 6 4 2 0 


5ЕРН АН РЕ СН 


Эта инструкция часто используется в коде работающем с FPU. 


LEAVE аналог команд MOV ESP, ЕВР и РОР EBP — то есть возврат указателя 
стека и регистра ЕВР в первоначальное состояние. 


LEA (Load Effective Address) сформировать адрес 


Это инструкция, которая задумывалась вовсе не для складывания и умно- 
жения чисел, а для формирования адреса например, из указателя на мас- 
сив и прибавления индекса к нему *. 


То есть, разница между MOV и LEA в том, что MOV формирует адрес в памяти 
и загружает значение из памяти, либо записывает его туда, а LEA только 
формирует адрес. 


Тем не менее, её можно использовать для любых других вычислений . 


LEA удобна тем, что производимые ею вычисления не модифицируют фла- 
ги СРО. Это может быть очень важно для ООЕ процессоров (чтобы было 
меньше зависимостей между данными). 


Помимо всего прочего, начиная минимум с Pentium, инструкция LEA испол- 
няется за 1 такт. 


int f(int а, int b) 
{ 

return a*x8+b; 
}; 

Листинг 1: Оптимизирующий MSVC 2010 

_а$ = 8 ; size = 4 
_b$ = 12 ; 51те = 4 
f PROC 


4Cm. также: wikipedia 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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тоу eax, DWORD PTR 60$ [еѕр-4] 
mov ecx, DWORD PTR _а$[е<р-4] 
lea eax, DWORD PTR [eax+ecx*8] 
ret 0 

f ENDP 


Intel C++ использует LEA даже больше: 


int #1(іпі а) 


{ 
return аж13; 
}; 
Листинг 2: Intel С++ 2011 
_11 PROC NEAR 
mov ecx, DWORD PTR [4+esp] ; есх = а 
Теа edx, DWORD РТВ [есх+есхж8] ; edx = а*9 
Теа eax, DWORD РТВ [едх+есхж4] ; eax = а*9 + а*4 = а*13 
геї 


Эти две инструкции вместо одной IMUL будут работать быстрее. 


МОМ$В/МОМ$\М//МОМ$О/МОМ$О скопировать байт/ 16-битное слово/ 32-битное 
слово/ 64-битное слово на который указывает 51/Е51/А5І куда указывает 
DI/EDI/RDI. 


Вместе с префиксом REP, инструкция исполняется в цикле, счетчик Ha- 
ходится в регистре СХ/ЕСХ/ВСХ: это работает как тетсру() в Си. Если 
размер блока известен компилятору на стадии компиляции, тетсру() ча- 
сто компилируется в короткий фрагмент кода использующий ВЕР МО\х, 
иногда даже несколько инструкций . 


Эквивалент тетсру(Е0І, ESI, 15): 


; скопировать 15 байт из ESI в EDI 

CLD ; установить направление на вперед 
MOV ECX, 3 

REP MOVSD ; скопировать 12 байт 

MOVSW ; скопировать еще 2 байта 

MOVSB ; скопировать оставшийся байт 


(Должно быть, так быстрее чем копировать 15 байт используя просто одну 
ВЕР MOVSB ). 


МОМ$Х загрузить с расширением знака см. также: (1.23.1 (стр. 262)) 


МОМ2Х загрузить и очистить все остальные биты! см. также: (1.23.1 (стр. 263)) 


MOV загрузить значение. эта инструкция была названа неудачно (данные не 
перемещаются, а копируются), что является результатом путаницы: в дру- 
гих архитектурах эта же инструкция называется «LOAD» и/или «STORE» 
или что-то в этом роде. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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Важно: если в 32-битном режиме при помощи MOV записывать младшую 
16-байтную часть регистра, то старшие 16 бит останутся такими же. Но 
если в 64-битном режиме модифицировать 32-битную часть регистра, то 
старшие 32 бита обнуляются. 


Вероятно, это сделано для упрощения портирования кода под х86-64. 


МОЕ умножение с учетом беззнаковых значений. ТМИЕ часто используется BME- 
сто MUL, читайте об этом больше: 10.1 (стр. 1244). 


МЕС смена знака: ор = -op То же что и NOT ор / ADD ор, 1. 


МОР МОР. Её опкод 0x90, что на самом деле это холостая инструкция ХСНС 
EAX, EAX. Это значит, что в X86 (как и во многих RISC) нет отдельной NOP- 
инструкции . В этой книге есть по крайней мере один листинг, где GDB 
отображает МОР как 16-битную инструкцию ХСНС: 1.11.1 (стр. 66). 


Еще примеры подобных операций: (.1.7 (стр. 1302)). 


МОР может быть сгенерировать компилятором для выравнивания меток 
по 16-байтной границе . Другое очень популярное использование МОР это 
вставка её вручную (патчинг) на месте какой-либо инструкции вроде услов- 
ного перехода, чтобы запретить её исполнение. 


МОТ ор]: opl = -ор1. логическое «НЕ» Важная особенность — инструкция не 
меняет флаги. 


ОВ логическое «ИЛИ» 

РОР взять значение из стека: уа\ие=55: [ESP]; ЕЅР=Е5Р+4 (или 8) 
PUSH записать значение в стек: ЕЅР=ЕЅР-4 (или 8); SS:[ESP]=value 
ВЕТ возврат из процедуры: РОР tmp; JMP tmp. 


В реальности, ВЕТ это макрос ассемблера, в среде Windows и *МІХ транс- 
лирующийся в RETN («return near») ибо, во времена MS-DOS, где память 
адресовалась немного иначе (10.7 (стр. 1254)), в RETF («return far»). 


ВЕТ может иметь операнд. Тогда его работа будет такой: 
РОР tmp; ADD ESP opl; JMP tmp. ВЕТ соперандом обычно завершает функ- 
ции с соглашением о вызовах ${аса!, см. также : 6.1.2 (стр. 940). 


$АНЕ скопировать биты из АН в флаги CPU: 


7 6 4 2 0 


5ЕРН АР РЕ СН 


Эта инструкция часто используется в коде работающем с FPU. 


SBB (subtraction with borrow) вычесть одно значение из другого, декремент pe- 
зультата если флаг СЕ выставлен. 5ВВ часто используется для вычитания 
больших значений, например, для вычитания двух 64-битных значений в 
32-битной среде используя инструкции 50В и 5ВВ, например: 


; работа с 64-битными значениями: вычесть val2 из vall 
; .1о означает младшие 32 бита, .һ1 - старшие 
SUB ма11.10, ма12.10 
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| SBB vall.hi, ма12.һі ; использовать СЕ выставленный или очищенный в | 
предыдущей инструкции 


Еще один пример: 1.34 (стр. 506). 


SCASB/SCASW/SCASD/SCASQ (М) сравнить байт/ 16-битное слово/ 32-битное 
слово/ 64-битное слово, записанное в АХ/ЕАХ/ВАХ со значением, адрес ко- 
торого находится в DI/EDI/RDI. Выставить флаги так же, как это делает 
СМР. 


Эта инструкция часто используется с префиксом ВЕРМЕ: продолжать ска- 
нировать буфер до тех пор, пока не встретится специальное значение, за- 
писанное в АХ/ЕАХ/ВАХ . Отсюда «МЕ» в ВЕРМЕ: продолжать сканирование 
если сравниваемые значения не равны и остановиться если равны . 


Она часто используется как стандартная функция Си ѕїпеп(), для опреде- 
ления длины А5СІ12-строки : 


Пример: 

Теа еді, string 

mov ecx, OFFFFFFFFh ; сканировать 23? – 1 байт, T.e., почти бесконечно 
хог еах, еах ; конец строки это 0 

repne scasb 

add edi, OFFFFFFFFh ; скорректировать 


; теперь EDI указывает на последний символ в ASCIIZ-cTpoke. 


; Узнать длину строки 


; сейчас ECX = -1-51г1еп 
not ecx 
dec ecx 


; теперь B ECX хранится длина строки 


Если использовать другое значение АХ/ЕАХ/ВАХ, функция будет работать 
как стандартная функция Си тетспг(), т.е. для поиска определенного 
байта. 


SHL сдвинуть значение влево 


ЅНК сдвинуть значение вправо: 


СОРАУГА 
ЕЕ Е ЕЕЕ Е и 
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Ё жы КЕЕШ ИШЕ 
Эти инструкции очень часто применяются для умножения и деления на 2”. 


Еще одно очень частое применение это работа с битовыми полями: 1.28 
(стр. 389). 


ЅНАР ор1, ор2, ор3: сдвинуть значение в ор2 вправо на орз бит, подтягивая 
биты из ор1. 


Пример: 1.34 (стр. 506). 


STOSB/STOSW/STOSD/STOSQ записать байт/ 16-битное слово/ 32-битное сло- 
во/ 64-битное слово из АХ/ЕАХ/ВАХ в место, адрес которого находится в 
DI/EDI/RDI. 


Вместе с префиксом ВЕР, инструкция будет исполняться в цикле, счет- 
чик будет находится в регистре СХ/ЕСХ/ВСХ : это работает как тетзе(() 
в Си. Если размер блока известен компилятору на стадии компиляции, 
тетѕе{() часто компилируется в короткий фрагмент кода использующий 
ВЕР 5ТО5х, иногда даже несколько инструкций . 


Эквивалент memset(EDI, ОХАА, 15): 


; записать 15 байт ХАА в EDI 

CLD ; установить направление на вперед 
MOV EAX, ӨААААААААһ 

MOV ECX, 3 

REP STOSD ; записать 12 байт 

STOSW ; записать еще 2 байта 

5Т05В ; записать оставшийся байт 


(Вероятно, так быстрее чем заполнять 15 байт используя просто одну ВЕР 
ЅТОЅВ ). 


SUB вычесть одно значение из другого. часто встречающийся вариант SUB 
гед, гед означает обнуление гед. 


ТЕЅТ то же что и АМР, но без записи результатов, см. также: 1.28 (стр. 389) 


XOR ор1, 0р2: XOR? значений. opl = ор1Фор2. Часто встречающийся вариант ХОВ 
гед, гед означает обнуление регистра гед. 


Реже используемые инструкции 


BSF bit scan forward, см. также: 1.36.2 (стр. 540) 
BSR bit scan reverse 
BSWAP (byte swap), смена порядка байт в значении. 


5еХсіџѕіме OR (исключающее «ИЛИ») 
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ВТС bit test апа complement 
BTR bit test and reset 
BTS bit test and set 
BT bit test 
CBW/CWD/CWDE/CDQ/CDQE Расширить значение учитывая его знак: 
CBW конвертировать байт в AL в слово в АХ 
CWD конвертировать слово в АХ в двойное слово в ОХ:АХ 
СМ/ОЕ конвертировать слово в АХ в двойное слово в EAX 
СОО конвертировать двойное слово в ЕАХ в четверное слово в ЕОХ:ЕАХ 
СООЕ (х64) конвертировать двойное слово в ЕАХ в четверное слово в ВАХ 


Эти инструкции учитывают знак значения, расширяя его в старшую часть 
выходного значения. См. также: 1.34.5 (стр. 518). 


Интересно узнать, что эти инструкции назывались SEX (Sign ЕХ{епа), как 
Stephen P. Morse (один из создателей Intel 8086 СРО) пишет в [Stephen Р. 
Morse, Тһе 8086 Primer, (1980)]%: 


Тре process of stretching numbers Бу extending the sign bit is 
called sign extension. The 8086 provides instructions (Fig. 3.29) 
to facilitate the task of sign extension. These instructions were 
initially named SEX (sign extend) but were later renamed to the 
more conservative CBW (convert byte to word) and CWD (convert 
word to double word). 


CLD сбросить флаг DF. 

CLI (М) сбросить флаг IF. 

СІС (М) сбросить флаг СЕ 

СМС (М) инвертировать флаг СЕ 


СМО\сс условный MOV: загрузить значение если условие верно. Коды точно 
такие же, как и в инструкциях Јсс (.1.6 (стр. 1287)). 


СМР$В/СМР$М//СМР$О/СМР$О (М) сравнить байт/ 16-битное слово/ 32-битное 
слово/ 64-битное слово из места, адрес которого находится в SI/ESI/RSI со 
значением, адрес которого находится в DI/EDI/RDI. Выставить флаги так 
же, как это делает СМР. 


Вместе с префиксом ВЕРЕ, инструкция будет исполняться в цикле, счет- 
чик будет находится в регистре СХ/ЕСХ/ВСХ, процесс будет продолжаться 
пока флаг 7Е=0 (т.е. до тех пор, пока все сравниваемые значения равны, 
отсюда «Е» в ВЕРЕ). 


Это работает как тетстр() в Си. 


бТакже доступно здесь: https://archive.org/details/The8086Primer 
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Пример из ядра Windows МТ (WRK v1.2): 


Листинг 3: Базе\пео$\г\ 38 6\птометет.а$т 


; ULONG 

; RtlCompareMemory ( 
; IN PVOID Sourcel, 
; IN PVOID Source2, 
; IN ULONG Length 
5) 


; Routine Description: 


; This function compares two blocks of memory and returns the number 
; of bytes that compared equal. 


; Arguments: 


; Sourcel (esp+4) - Supplies a pointer to the first block of memory to 
; compare. 


; Source? (еѕр+8) - Supplies a pointer to the second block of memory to 
; compare. 


; Length (esp+12) - Supplies the Length, in bytes, of the memory to be 
; compared. 


; Return Value: 
; The number of bytes that compared equal is returned as the function 


value. If all bytes compared equal, then the length of the original 
block of memory is returned. 


, 


Кст5оигсе1 еди [е5р+12] 
RcmSource2 equ [esp+16] 
RcmLength equ [esp+20] 


CODE ALIGNMENT 
cPublicProc RtlCompareMemory,3 
cPublicFpo 3,0 


push esi ; save registers 

push edi ; 

с1а ; clear direction 

mov е51,Встбоигсе1 ; (esi) -> first block to 
compare 

mov edi,RcmSource2 ; (edi) -> second block to 
compare 


; Compare dwords, if any. 


, 
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гст10: тоу ecx,RcmLength 
shr ecx,2 
jz rcm20 
repe cmpsd 
jnz rcm40 


, 


; Compare residual bytes, if any. 


, 


rcm20: mov ecx,RcmLength 
and есх,3 
jz rcm30 
repe cmpsb 
jnz rcm50 


got 


; АЦ bytes in the block match. 


, 


rcm30: mov eax,RcmLength 
pop edi 
pop esi 


stdRET _RtlCompareMemory 


(ecx) = length in bytes 
(ecx) = length in dwords 
no dwords, try bytes 
compare dwords 

mismatch, go find byte 


(ecx) = length in bytes 

(ecx) = length mod 4 

0 odd bytes, go do dwords 
compare odd bytes 

mismatch, go report how far we 


set number of matching bytes 
restore registers 


; When we come to rcm40, esi (and edi) points to the dword after the 
; one which caused the mismatch. Back up 1 dword and find the byte. 
; Since we know the dword didn't match, we can assume one byte won't. 


, 


rcm40: sub esi,4 
sub edi,4 
mov ecx,5 

out 
repe cmpsb 


П 


П 
П 


П 


П 


back ир 
back ир 


; ensure that ecx doesn't count 


find mismatch byte 


; When we come to rcm50, esi points to the byte after the one that 
; did not match, which is ТМО after the last byte that did match. 


, 


rcm50: dec esi 
sub е51,Встбоигсе1 
mov eax,esi 
pop edi 
pop esi 


stdRET _RtlCompareMemory 


stdENDP _RtlCompareMemory 


П 


, 


back up 
compute bytes that matched 


restore registers 


N.B.: эта функция использует сравнение 32-битных слов (CMPSD) если дли- 
на блоков кратна 4-м байтам, либо побайтовое сравнение (СМРЅВ) если не 
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кратна . 


CPUID получить информацию о доступных возможностях CPU . см. также: (1.30.6 
(стр. 472)). 


DIV деление с учетом беззнаковых значений 
ІрІМ деление с учетом знаковых значений 


ІМТ (М): ІМТ х аналогична РОЅНЕ; CALL дмога ptr [х*4] в 16-битной среде. 
Она активно использовалась в MS-DOS, работая как сисколл. Аргументы 
записывались в регистры AX/BX/CX/DX/SI/DI и затем происходил переход 
на таблицу векторов прерываний (расположенную в самом начале адрес- 
ного пространства). Она была очень популярна потому что имела корот- 
кий опкод (2 байта) и программе использующая сервисы MS-DOS не нужно 
было заморачиваться узнавая адреса всех функций этих сервисов . Обра- 
ботчик прерываний возвращал управление назад при помощи инструкции 
IRET. 


Самое используемое прерывание B MS-DOS было 0x21, там была основная 
часть его АРІ. См. также: [Ralf Brown Ralf Brown’s Interrupt List], самый круп- 
ный список всех известных прерываний и вообще там много информации 
о MS-DOS. 


Во времена после MS-DOS, эта инструкция все еще использовалась как 
сискол, и в Linux и в Windows (6.3 (стр. 958)), но позже была заменена 
инструкцией SYSENTER или 5ҮЅСАШ . 


ІМТ З (М): эта инструкция стоит немного в стороне от ІМТ, она имеет собствен- 

ный 1-байтный опкод (0хСС), и активно используется в отладке. Часто, OT- 
ладчик просто записывает байт ©хСС по адресу в памяти где устанавли- 
вается точка останова, и когда исключение поднимается, оригинальный 
байт будет восстановлен и оригинальная инструкция по этому адресу ис- 
полнена заново. 
В Windows МТ, исключение ЕХСЕРТТОМ ВАЕАКРОІМТ поднимается, когда СРО 
исполняет эту инструкцию. Это отладочное событие может быть перехва- 
чено и обработано отладчиком, если он загружен . Если он не загружен, 
Windows предложит запустить один из зарегистрированных в системе OT- 
ладчиков . Если М5\/57 установлена, его отладчик может быть загружен и 
подключен к процессу. В целях защиты от reverse engineering, множество 
анти-отладочных методов проверяют целостность загруженного кода. 


В М5\С есть compiler intrinsic для этой инструкции:  debugbreak( )8. 


В win32 также имеется функция в kernel32.dll с названием ребридВгеак()?, 
которая также исполняет ІМТ 3. 


ІМ (М) получить данные из порта. Эту инструкцию обычно можно найти в драй- 
верах OS либо в старом коде для MS-DOS, например (8.6.3 (стр. 1070)). 


7Microsoft Visual Studio 
8MSDN 
9MSDN 
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IRET : использовалась в среде MS-DOS для возврата из обработчика прерыва- 
ний, после того как он был вызван при помощи инструкции INT . Эквива- 
лентна РОР tmp; РОРЕ; JMP tmp. 


LOOP (М) декремент СХ/ЕСХ/ВСХ, переход если он всё еще не ноль. 


Инструкцию LOOP очень часто использовали в 005-коде, который рабо- 
тал внешними устройствами. Чтобы сделать небольшую задержку, дела- 
ли так: 


MOV CX, nnnn 
LABEL: LOOP LABEL 


Недостаток очевиден: длительность задержки сильно зависит OT скоро- 
сти CPU. 


ОЧТ (М) послать данные в порт. Эту инструкцию обычно можно найти в драй- 
верах OS либо в старом коде для MS-DOS, например (8.6.3 (стр. 1070)). 


POPA (М) восстанавливает значения регистров (R|E)DI, (В|Е)$1, (В|Е)ВР, (R|E)BX, 
(В]Е)ОХ, (КЕ)СХ, (В]Е)АХ из стека. 


РОРСМТ population count. Считает количество бит выставленных в 1 в значе- 
нии . 


РОРЕ восстановить флаги из стека (АКА регистр EFLAGS) 


PUSHA (М) сохраняет значения регистров (КЕ)АХ, (ВЕ)СХ, (ВЕ)ОХ, (R|E)BX, 
(АЈЕ)ВР, (А|Е)5І, (В|Е)О! в стеке. 


РУЗНЕ сохранить в стеке флаги (АКА регистр EFLAGS) 


RCL (М) вращать биты налево через флаг СЕ: 


ВСВ (М) вращать биты направо через флаг СЕ: 


ROL/ROR (М) циклический сдвиг 


ВОГ: вращать налево: 
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Не смотря на то что многие СРО имеют эти инструкции, в Си/Си++нет 
соответствующих операций, так что компиляторы с этих ЯП обычно не 
генерируют код использующий эти инструкции. 


Чтобы программисту были доступны эти инструкции, в М5\/С есть псев- 
дофункции (compiler intrinsics) _гоН() и _гоЁг():0, которые транслируются 
компилятором напрямую в эти инструкции. 


SAL Арифметический сдвиг влево, синонимично SHL 


ЅАВ Арифметический сдвиг вправо 


Таким образом, бит знака всегда остается на месте MSB. 


5ЕТсс ор: загрузить 1 в ор (только байт) если условие верно или 0 если наобо- 
рот. Коды точно такие же, как и в инструкциях )сс (.1.6 (стр. 1287)). 


STC (М) установить флаг СЕ 


STD (М) установить флаг DF. Эта инструкция не генерируется компиляторами 
и вообще редкая. Например, она может быть найдена в файле ntoskrnl.exe 
(ядро Windows) в написанных вручную функциях копирования памяти. 


STI (М) установить флаг IF 
SYSCALL (AMD) вызов сисколла (6.3 (стр. 958)) 
ЅҮЅЕМТЕВ (Intel) вызов сисколла (6.3 (стр. 958)) 


902 (М) неопределенная инструкция, вызывает исключение. Применяется для 
тестирования. 


ХСНС (М) обменять местами значения в операндах 


10MSDN 
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Это редкая инструкция: компиляторы её не генерируют, потому что на- 
чиная с Pentium, ХСНС с адресом в памяти в операнде исполняется так, 
как если имеет префикс LOCK (см.[Місһае! Abrash, Graphics Programming 
Black Book, 1997глава 19]). Вероятно, в Intel так сделали для совместимо- 
сти с синхронизирующими примитивами. Таким образом, ХСНС начиная с 
Pentium может быть медленной. С другой стороны, ХСНб была очень NO- 
пулярна у программистов на ассемблере. Так что, если вы видите ХСНС 
в коде, это может быть знаком, что код написан вручную. Впрочем, по 
крайней мере компилятор Borland Delphi генерирует эту инструкцию. 


Инструкции ЕРУ 


Суффикс -R в названии инструкции обычно означает, что операнды поменя- 
ны местами, суффикс -Р означает что один элемент выталкивается из стека 
после исполнения инструкции, суффикс -РР означает, что выталкиваются два 
элемента. 


-Р инструкции часто бывают полезны, когда нам уже больше не нужно хранить 
значение в ҒРО-стеке после операции. 


FABS заменить значение в $Т(0) на абсолютное значение $Т(0) 
FADD ор: 57(0)=ор+5Т(0) 
FADD 5Т(0), ST(i): ST(0)=ST(0)+ST(i) 


FADDP ST(1)=ST(0)+ST(1); вытолкнуть один элемент из стека, таким образом, 
складываемые значения в стеке заменяются суммой 


ЕСН$ 5Т(0)=-5Т(0) 

ЕСОМ сравнить $Т(0) с ST(1) 

ЕСОМ ор: сравнить ST(0) с ор 

ЕСОМР сравнить 5Т(0) с ST(1); вытолкнуть один элемент из стека 
ЕСОМРР сравнить ST(0) с 57(1); вытолкнуть два элемента из стека 
FDIVR ор: ST(0)=0p/ST(0) 

FDIVR ST(i), ST(j): ST(i)=ST(j)/ST(i) 

FDIVRP op: ST(0)=0p/ST(0); вытолкнуть один элемент из стека 
FDIVRP $Т(!), ST(j): ST(i)=ST(j)/ST(i); вытолкнуть один элемент из стека 
РОМ ор: ST(0)=ST(0)/op 

РОМ ST(i), 5Т(]): ST(i)=ST(i)/ST(j) 


ЕРІМР ST(1)=ST(0)/ST(1); вытолкнуть один элемент из стека, таким образом, 
делимое и делитель в стеке заменяются частным 


FILD ор: сконвертировать целочисленный ор и затолкнуть его в стек . 


FIST ор: конвертировать $5Т(0) в целочисленное ор 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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ҒІЅТР ор: конвертировать 57(0) в целочисленное ор; вытолкнуть один элемент 
из стека 


FLD1 затолкнуть 1 в стек 

FLDCW ор: загрузить FPU control мога (.1.3 (стр. 1282)) из 16-bit ор. 
FLDZ затолкнуть ноль в стек 

FLD ор: затолкнуть ор в стек. 

FMUL ор: $Т(0)=$5Т(0)*ор 

ЕМОЕ ST(i), ST(j): ST(i)=ST(i)*ST(j) 

FMULP ор: 5Т(0)=$Т(0)*ор; вытолкнуть один элемент из стека 

ЕМОІР 5Т(1), 5Т()): ST(i)=ST(i)*ST(j); вытолкнуть один элемент из стека 
ЕЅІМСОЅ : {тр=5Т(0); ST(1)=sin(tmp); ST(0)=cos(tmp) 

FSQRT : 5Т(0) = \/5Т(0) 


FSTCW ор: записать ЕРО control мога (.1.3 (стр. 1282)) в 16-bit ор после провер- 
ки ожидающих исключений. 


ЕМЅТСМ ор: записать FPU control мога (.1.3 (стр. 1282)) в 16-bit ор. 


FSTSW ор: записать FPU status мога (.1.3 (стр. 1282)) в 16-bit ор после проверки 
ожидающих исключений. 


FNSTSW ор: записать FPU status мога (.1.3 (стр. 1282)) в 16-bit ор. 
FST ор: копировать 5Т(0) в ор 

FSTP ор: копировать 5Т(0) в ор; вытолкнуть один элемент из стека 
FSUBR ор: 5Т(0)=ор-5Т(0) 

FSUBR 5Т(0), ST(i): 57(0)=5Т(1)-5Т(0) 


FSUBRP ST(1)=ST(0)-ST(1); вытолкнуть один элемент из стека, таким образом, 
складываемые значения в стеке заменяются разностью 


FSUB ор: 57(0)=5Т(0)-ор 
ЕЅОВ 5Т(0), 5Т(1): ST(0)=ST(0)-ST(i) 


FSUBP ST(1)=ST(1)-ST(0); вытолкнуть один элемент из стека, таким образом, 
складываемые значения в стеке заменяются разностью 


РУСОМ ST(i): сравнить ST(0) и ST(i) 

РУСОМ сравнить ST(0) и $Т(1) 

РУСОМР сравнить 5Т(0) и 57(1); вытолкнуть один элемент из стека. 
РУСОМРР сравнить ST(0) и 57(1); вытолкнуть два элемента из стека. 


Инструкция работает так же, как и ЕСОМ, за тем исключением что исклю- 
чение срабатывает только если один из операндов SNaN, но числа ОМаМ 
нормально обрабатываются. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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ЕХСН 5Т(!) обменять местами значения в ST(0) и ST(i) 


ЕХСН обменять местами значения в $Т(0) и $Т(1) 


Инструкции с печатаемым А$С!-опкодом 


(В 32-битном режиме.) 


Это может пригодиться для создания шелл-кодов. См. также: 8.12.1 (стр. 1142). 


АЗСП-символ | шестнадцатеричный код | х86-инструкция 
0 30 XOR 
1 31 XOR 
2 32 XOR 
3 33 XOR 
4 34 XOR 
5 35 XOR 
7 37 AAA 
8 38 CMP 
9 39 CMP 
ї За СМР 
; 3b CMP 
< 3c CMP 
= 3d CMP 
? 3f AAS 
@ 40 ІМС 
А 41 ІМС 
В 42 ІМС 
С 43 ІМС 
D 44 INC 

E 45 INC 

F 46 INC 
G 47 INC 
H 48 DEC 
| 49 ОЕС 
) 4а DEC 
K 4b DEC 
L 4c DEC 
M 4d DEC 
N 4e DEC 
О 4f DEC 
P 50 PUSH 
Q 51 PUSH 
R 52 PUSH 
S 53 PUSH 
T 54 PUSH 
U 55 PUSH 
V 56 PUSH 
W 57 PUSH 
X 58 POP 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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4 


м< хе < сти чоок т 5ш 


А также: 


А5СІІ-символ 


шестнадцатеричн ЫЙ код 


х86-инструкция 


f 


g 


66 


67 


(в 32-битном режиме) переключиться на 
16-битный размер операнда 

(в 32-битном режиме) переключиться на 
16-битный размер адреса 


В итоге: ААА, AAS, СМР, DEC, IMUL, INC, ЈА, JAE, JB, JBE, ЈЕ, JNE, JNO, JNS, ЈО, ЈР, JS, 
POP, POPA, PUSH, PUSHA, XOR. 


.1.7. npad 


Это макрос в ассемблере, для выравнивания некоторой метки по некоторой 


границе. 


Это нужно для тех нагруженных меток, куда чаще всего передается управле- 
ние, например, начало тела цикла. Для того чтобы процессор мог эффективнее 
вытягивать данные или код из памяти, через шину с памятью, кэширование, 


итд. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Взято из 115%1п9.1пс (MSVC) 


Это, кстати, любопытный пример различных вариантов №Р-ов. Все эти инструк- 
ции не дают никакого эффекта, но отличаются разной длиной. 


Цель в том, чтобы была только одна инструкция, а не набор МОР-ов, считается 
что так лучше для производительности CPU. 


;; LISTING. ІМС 

;; This file contains assembler macros and is included by the files created 
;; with the -FA compiler switch to be assembled by MASM (Microsoft Macro 

;; Assembler). 


;; Copyright (c) 1993-2003, Microsoft Corporation. А11 rights reserved. 


;; non destructive nops 
npad macro size 
if size eq 1 
nop 
else 
if size eq 2 
mov edi, edi 
else 
if size eq 3 
; lea ecx, [ecx+00] 
DB 8DH, 49H, ООН 
else 
if size eq 4 
; lea esp, [esp+00] 
DB 8DH, 64H, 24H, ӨӨН 
else 
if size eq 5 
add eax, DWORD PTR 0 
else 
if size eq 6 
; lea ebx, [ebx+00000000] 
рв зон, 9BH, өөн, оон, өөн, өөн 
е1ѕе 
if size eq 7 
; lea esp, [esp+00000000] 
DB 8DH, 0A4H, 24H, ӨӨН, оон, оон, оон 
else 
if size eq 8 
; jmp .+8; .праа 6 
DB ОЕВН, 06H, 8DH, 9BH, өөн, өөн, өөн, оон 
else 
if size eq 9 
; jmp .+9; .npad 7 
DB ОЕВН, 07H, 8DH, ОА4Н, 24H, ӨӨН, оон, оон, оон 
else 
if size eq 10 
; jmp .+А; .npad 7; .праа 1 
DB ОЕВН, 08H, 8DH, ӨА4Н, 24H, ӨӨН, оон, OOH, оон, 90H 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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else 
if size eq 11 
; jmp .+B; .npad 7; .npad 2 
ОВ ОЕВН, 09H, ЗОН, ӨАДН, 24H, ӨӨН, ӨӨН, ӨӨН, OOH, 8BH, OFFH 
else 
if size eq 12 
; jmp .+C; .npad 7; .npad 3 


DB ОЕВН, OAH, 8DH, ОА4Н, 24H, ӨӨН, оон, оон, оон, 8DH, 49H, өөн 


else 
if size eq 13 
; jmp .+0; .праа 7; .npad 4 
DB ОЕВН, ӨВН, 8DH, ӨА4Н, 24H, ӨӨН, оон, оон, оон, 8DH, 64H, 
S H, ӨӨН 
else 
if size eq 14 
; jmp .+E; .npad 7; .npad 5 
DB ОЕВН, ОСН, 8DH, ӨАДН, 24H, ӨӨН, оон, оон, оон, о5н, оон, 
S бон, оон, оон 
else 
if size eq 15 
; jmp .+F; .npad 7; .npad 6 


242 


Ра 


ОВ ОЕВН, ООН, 8рн, 0A4H, 24H, 00Н, ӨӨН, ӨӨН, OOH, грн, ЭВН, 2 


S 00H, оон, оон, оон 
е1ѕе 
%оиї error: unsupported праа size 
„err 
endif 
endif 
endif 
endif 
endif 
endif 
endif 
endif 
endif 
endif 
endif 
endif 
endif 
endif 
endif 
endm 


.2. ARM 


.2.1. Терминология 


ARM изначально разрабатывался как 32-битный CPU, поэтому слово здесь, в 


отличие от х86, 32-битное. 


byte 8-бит. Для определения переменных и массива байт используется дирек- 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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тива ассемблера ОСВ. 
halfword 16-бит. —"— директива ассемблера DCW. 
мога 32-бит. —"— директива ассемблера DCD. 
оч емгога 64-бит. 
ачаамога 128-бит. 


.2.2. Версии 


• ARMv4: появился режим Thumb. 


e ARMv6: использовался в iPhone 1st gen., iPhone 3G (Samsung 32-bit RISC 
ARM 1176JZ(F)-S поддерживающий Thumb-2) 


ARMv7: появился Thumb-2 (2003). Использовался B iPhone 3GS, iPhone 4, 
iPad 1st gen. (ARM Cortex-A8), iPad 2 (Cortex-A9), iPad 3rd gen. 


ARMv7s: Добавлены новые инструкции. Использовался B iPhone 5, iPhone 
5c, iPad 4th gen. (Apple Аб). 


АВМ\В: 64-битный процессор, АКА ARM64 АКА AArch64. Использовался в 
iPhone 55, iPad Ай (Apple А7). В 64-битном режиме, режима Thumb больше 
нет, только режим АКМ (4-байтные инструкции). 


.2.3. 32-битный АКМ (AArch32) 
Регистры общего пользования 
e КО — результат функции обычно возвращается через RO 
• В1...В12 — СРВ$ 
* R13 — АКА SP (указатель стека) 
• R14 — АКА LR (link register) 
• R15 — AKA PC (program counter) 


RO-R3 называются также «scratch registers»: аргументы функции обычно nepe- 
даются через них, и эти значения не обязательно восстанавливать перед вы- 
ходом из функции. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Current Program Status Register (СР$В) 


Бит Описание 

0..4 М — processor mode 

5 T — Thumb state 

6 F — FIQ disable 

7 | — IRQ disable 

8 A — imprecise data abort disable 
9 E — data endianness 

10..15, 25, 26 | IT — if-then state 

16..19 GE — greater-than-or-equal-to 
20..23 DNM — до пої modify 

24 J — Java state 

27 Q — sticky overflow 

28 V — overflow 

29 C — carry/borrow/extend 

30 Z — zero bit 

31 N — negative/less than 


Регистры VPF (для чисел с плавающей точкой) n NEON 


0..312 | 32..64 | 65..96 | 97..127 
00128 pits 
D064 bits D1 
5032 05 | 51 S2 53 


5-регистры 32-битные, используются для хранения чисел с одинарной точно- 
стью. 


О-регистры 64-битные, используются для хранения чисел с двойной точностью. 


О- и 5-регистры занимают одно и то же место в памяти СРО — можно обращать- 
ся к Э-регистрам через 5-регистры (хотя это и бессмысленно). 


Точно также, МЕОМ О-регистры имеют размер 128 бит и занимают то же физи- 
ческое место в памяти СРУ что и остальные регистры, предназначенные для 
чисел с плавающей точкой. 


В МЕР присутствует 32 5-регистров: 50..531. 


В VPFv2 были добавлены 16 ОЭ-регистров, которые занимают то же место что и 
50..531. 


В УЕРУЗ (NEON или «Advanced SIMD») добавили еще 16 О-регистров, в итоге это 
00..031, но регистры 016..031 не делят место с другими 5-регистрами. 


В NEON или «Advanced SIMD» были добавлены также 16 128-битных О-регистров, 
делящих место с регистрами 00..031. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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„2.4. 64-битный АВМ (ААгсћб4) 
Регистры общего пользования 


Количество регистров было удвоено со времен AArch32. 
• ХО — результат функции обычно возвращается через ХО 
e ХО...Х7 — Здесь передаются аргументы функции. 
. X8 


Х9...Х15 — временные регистры, вызываемая функция может их исполь- 
зовать и не восстанавливать их. 


e X16 
e X17 
e X18 


e X19...X29 — вызываемая функция может их использовать, но должна BOC- 
станавливать их по завершению. 


• Х29 — используется как ЕР (как минимум в ССС) 
• X30 — «Procedure Link Register» АКА LR (link register). 


• X31 — регистр, всегда содержащий ноль АКА XZR или «Zero Register». Его 
32-битная часть называется М2. 


• SP, больше не регистр общего пользования. 
См.также: [Procedure Call Standard for һе АВМ 64-bit Architecture (ААгсһб4), (2013)]11. 


32-битная часть каждого Х-регистра также доступна как W-perncTp (WO, W1, 
ит. д.). 


Старшие 32 бита | младшие 32 бита 
хо 


М/О 


.2.5. Инструкции 


В ААМ имеется также для некоторых инструкций суффикс -5, указывающий, 
что эта инструкция будет модифицировать флаги. Инструкции без этого суф- 
фикса не модифицируют флаги. Например, инструкция ADD в отличие от ADDS 
сложит два числа, но флаги не изменит. Такие инструкции удобно использо- 
вать между СМР где выставляются флаги и, например, инструкциями перехо- 
да, где флаги используются. Они также лучше в смысле анализа зависимостей 
данных (data dependency analysis) (потому что меньшее количество регистров 
модифицируется во время исполнения). 


Также доступно здесь: http://infocenter.arm.com/help/topic/com.arm.doc.ihi0055b/ 
IHI0055B_aapcs64.pdf 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Таблица условных кодов 


Код Описание Флаги 
ЕО равно 2 == ] 
МЕ не равно 2 == 
CS АКА HS (Higher ог Same) | перенос / беззнаковое, больше или равно | С == 1 
СС АКА LO (1 Омег) нет переноса / беззнаковое, меньше чем С == 0 
МІ минус, отрицательный знак / меньше чем | М == 1 
PL плюс, положительный знак или ноль / М == 0 
больше чем или равно 
VS переполнение У == 1 
VC нет переполнения V == 0 
НІ беззнаковое, больше чем С == 1и 
2 == 0 
LS беззнаковое, меньше или равно С == 0 или 
2 == 1 
СЕ знаковое, больше чем или равно М == У 
LT знаковое, меньше чем N!=V 
GT знаковое, больше чем 2 == 0и 
М == У 
LE знаковое, меньше чем или равно 2 == 1 или 
М != У 
Нету / AL Всегда Любые 


З. MIPS 


.3.1. Регистры 


( Соглашение о вызовах 032 ) 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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Регистры общего пользования (СРВ) 


Номер Псевдоимя | Описание 
$0 $ZERO Всегда ноль. Запись в этот регистр это как NOP. 
$1 $АТ Используется как временный регистр 
для ассемблерных макросов и псевдоинструкций. 
$2...$3 $\№0 ...$\1 Здесь возвращается результат функции. 
$4 ...$7 АО ...$АЗ Аргументы функции. 
$8 ...$15 Т0 ...$Т7 Используется для временных данных. 
$16 ...$23 | $50 ...$57 Используется для временных данных“. 
$24 ...$25 | $18 ...$Т9 Используется для временных данных. 
$26 ...$27 | $КО...$К1 Зарезервировано для ядра ОС. 
$28 $СР Глобальный указатель”*. 
$29 $5Р 5р". 
$30 ФЕР ЕР". 
$31 $RA RA. 
n/a PC PC. 
n/a HI старшие 32 бита результата умножения или остаток от деления***. 
п/а LO младшие 32 бита результата умножения или результат деления***. 


Регистры для работы с числами с плавающей точкой 


Название | Описание 

$РО..$Е1 Здесь возвращается результат функции. 
$F2..$F3 Не используется. 

$F4..$F11 Используется для временных данных. 
$F12..$F15 | Первые два аргумента функции. 
$Ғ16..$Ғ19 | Используется для временных данных. 
$Е20..$Е31 | Используется для временных данных“. 


* — Са!!ее должен сохранять. 
** — СаЙее должен сохранять (кроме Р!С-кода). 
*** — доступны используя инструкции МЕНТ и MFLO. 


.3.2. Инструкции 


Есть три типа инструкций. 


• Тип В: имеющие З регистра. В-инструкции обычно имеют такой вид: 


instruction destination, ѕоигсе1, ѕоигсе2 


Важно помнить, что если первый и второй регистр один и тот же, IDA mo- 
жет показать инструкцию в сокращенной форме: 


instruction деѕ+іпаїіоп/ѕоигсе1, ѕоигсе2 


Это немного напоминает Интеловский синтаксис ассемблера х86. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
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• Тип |: имеющие 2 регистра и 16-битное «иттеЧае»-значение. 


• Тип): инструкции перехода, имеют 26 бит для кодирования смещения. 


Инструкции перехода 


Какая разница между инструкциями начинающихся с B- (BEQ, В, ит. д.) и с Ј- 
(JAL, JALR, и т. д.)? 


В-инструкции имеют тип 1, так что, смещение в этих инструкциях кодируется 
как 16-битное значение. Инструкции JR и ЗАЁЕВ имеют тип В, и они делают ne- 
реход по абсолютному адресу указанному в регистре. J и JAL имеют тип J, так 
что смещение кодируется как 26-битное значение. 


Коротко говоря, в В-инструкциях можно кодировать условие (В на самом деле 
это псевдоинструкция для BEQ $ZERO, $ZERO, LABEL), а в Ј-инструкциях нель- 
зя. 


.4. Некоторые библиотечные функции ССС 


имя значение 
__ divdi3 | знаковое деление 

_ 10494913 | остаток от знакового деления 

__ udivdi3 | беззнаковое деление 

_ umoddi3 | остаток от беззнакового деления 


.5. Некоторые библиотечные функции М$\УС 


11 в имени функции означает «long long», т.е. 64-битный тип данных. 


имя значение 
_ alldiv | знаковое деление 

_ а мит умножение 

_ а Цгет | остаток от знакового деления 

_ allshl сдвиг влево 

_ allshr | знаковый сдвиг вправо 

__ aulldiv | беззнаковое деление 

_ aullrem | остаток от беззнакового деления 
_ aullshr | беззнаковый сдвиг вправо 


Процедуры умножения и сдвига влево, одни и те же и для знаковых чисел, и 
для беззнаковых, поэтому здесь только одна функция для каждой операции 


Исходные коды этих функций можно найти в установленной MSVS, в МС/сгї/ѕгс/іпіе1/*. ам. 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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„б. Cheatsheets 


.6.1. IDA 


Краткий справочник горячих клавиш: 


клавиша | значение 

Space переключать между листингом и просмотром кода в виде графа 

С конвертировать в код 

D конвертировать в данные 

А конвертировать в строку 

* конвертировать в массив 

U сделать неопределенным 

O сделать смещение из операнда 

Н сделать десятичное число 

В сделать символ 

В сделать двоичное число 

О сделать шестнадцатеричное число 

М переименовать идентификатор 

? калькулятор 

С переход на адрес 

: добавить комментарий 

Ctrl-X показать ссылки на текущую функцию, метку, переменную 
(вт.ч., в стеке) 

X показать ссылки на функцию, метку, переменную, итд 

А-1 искать константу 

Ctrl-l искать следующее вхождение константы 

А-В искать последовательность байт 

С-В искать следующее вхождение последовательности байт 

А-Т искать текст (включая инструкции, итд.) 

Ctrl-T искать следующее вхождение текста 

Alt-P редактировать текущую функцию 

Епїег перейти к функции, переменной, итд. 

Esc вернуться назад 

Мит - свернуть функцию или отмеченную область 

Мит + снова показать функцию или область 


Сворачивание функции или области может быть удобно чтобы прятать те ча- 
сти функции, чья функция вам стала уже ясна. это используется в моем скрип- 
Tel? для сворачивания некоторых очень часто используемых фрагментов inline- 


кода. 


.6.2. OllyDbg 


Краткий справочник горячих клавиш: 


12GitHub 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 


пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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хот-кей | значение 


F7 трассировать внутрь 
F8 сделать шаг, не входя в функцию 
F9 запуск 


Ctrl-F2 перезапуск 


.6.3. MSVC 
Некоторые полезные опции, которые были использованы в книге .. 
опция | значение 
101 оптимизация по размеру кода 
/Ob0 не заменять вызовы іпііпе-функций их кодом 
[Ох максимальная оптимизация 
/165- отключить проверки переполнений буфера 
/Fa(file) | генерировать листинг на ассемблере 
[Zi генерировать отладочную информацию 
/2р(п) паковать структуры по границе в » байт 
/МО выходной исполняемый файл будет использовать М5\СВ*. ри 


Кое-как информация о версиях MSVC: 5.1.1 (стр. 895). 


.6.4. ССС 


Некоторые полезные опции, которые были использованы в книге. 


опция значение 
-Os оптимизация по размеру кода 
-03 максимальная оптимизация 
-гедрагт= как много аргументов будет передаваться через регистры 
-o file задать имя выходного файла 
-0 генерировать отладочную информацию в итоговом исполняемом файле 
-5 генерировать листинг на ассемблере 
-masm=intel | генерировать листинг в синтаксисе Intel 
-по-іпііпе не вставлять тело функции там, где она вызывается 
.6.5. GDB 


Некоторые команды, которые были использованы в книге: 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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опция значение 
break Шепате.с:питЬег установить точку останова на номере строки в исходном файле 
break function установить точку останова на функции 
break *address установить точку останова на адресе 
р —="— 
р variable вывести значение переменной 
run запустить 
r ЭН. a 
cont продолжить исполнение 
c " 
bt вывести стек 
set disassembly-flavor intel | установить п(е|-синтаксис 
disas disassemble current function 
disas function дизассемблировать функцию 
disas Ғипсйоп,+50 disassemble portion 
disas $eip,+0x10 —"— 
аіѕаѕ/г дизассемблировать с опкодами 
info registers вывести все регистры 
info float вывести ЕРУ-регистры 
info locals вывести локальные переменные (если известны) 
х/№ ... вывести память как 32-битные слова 
x/w $rdi вывести память как 32-битные слова 
по адресу в ВОТ 
x/10w ... вывести 10 слов памяти 
х/5 ... вывести строку из памяти 
ХЛ ... трактовать память как код 
х/10с ... вывести 10 символов 
x/b ... вывести байты 
x/h ... вывести 16-битные полуслова 
х/9 ... вывести 64-битные слова 
finish исполнять до конца функции 
пехї следующая инструкция (не заходить в функции) 
step следующая инструкция (заходить в функции) 
set ѕіер-тоде оп не использовать информацию о номерах строк при использовании команды 
frame п переключить фрейм стека 
info break список точек останова 
del п удалить точку останова 
set args ... установить аргументы командной строки 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


Список принятых 
сокращений 
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ОС Операционная Система................................. хіх 
ООП Объектно-Ориентированное Программирование .............. 690 
ЯП Язык Программирования................................ xvi 
ГПСЧ Генератор псевдослучайных чисел....................... х 
ПЗУ Постоянное запоминающее устройство . . .. ................. 912 
АЛУ Арифметико-логическое устройство . . . .................... 35 
PID |Опрограммы/процесса ............................... 1036 
LF Line feed (подача строки) (10 или '\п'в Си/Си++) ............... 667 
СВ Carriage return (возврат каретки) (13 или "\г' в Си/Си++) .......... 667 
LIFO Last In First Out (последним вошел, первым вышел) ............ 41 
MSB Most significant bit (самый старший бит) .................... 405 


LSB Least significant bit (самый младший бит) 
СЕВ Режим обратной связи по шифротексту (Cipher Feedback) ........ 1084 


CSPRNG Криптографически стойкий генератор псевдослучайных чисел (сгурїодгарћісаіу 


secure pseudorandom number generator) . . ................... 1085 
PC Program Counter. IP/EIP/RIP в х86/64. PC B ARM. ................. 25 
SP указатель стека. SP/ESP/RSP в х86/х64. SP в ARM. ............... 25 
ВА АдДБеС возврата. „= = ааа ад н Е ежа 8 
РЕ РОЗЫ ЕХӨСШӘШ@& еее аа аЬ E а ааа 7 
DLL Оупаптіс- Ша ОВБгагу аа о ааа ааа аа наана А 971 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


LR Oink КӨ Герон оны кош тй алыш нае 8 
IDA Интерактивный дизассемблер и отладчик, разработан Нех-Вауѕ ... 9 
IAT Import АЧйге<5Тайе................................... 972 
INT Import Мате Table .................................... 972 
RVA Relative Virtual Address ................................ 972 
ЗА ГЕНА Address орав шек a aa a ж aa a e a a a a нала 971 
ОЕР Original Entry PONE. <- e seora аа a a a a ро вен A a 957 


MSVC Microsoft Visual C++ 


MSVS Microsoft Visual Studio ................................ 1296 
ASLR Address Space Layout Капаотіғаїіоп . . . . ................... 779 
МЕС Microsoft Foundation Classes . . ........................... 977 
TLS Thread Local Storage .......... еее 358 
AKA Also Known As — Также известный KAK ..................... 41 
СЕТ C ЕШТЕ ПАВ а ое посол a a E a a a А a 14 
CPU Central Processing Unit... еее ое хіх 
СРО Graphics Processing Unit... auaa aaa 1099 
FPU Floating-Point UNIE sc scce ia ко aeaa жш ыж алада а аш жок моа у 
CISC Complex Instruction Set Computing ........................ 26 
RISC Reduced Instruction Set Computing ........................ 3 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


GUI Graphical Осег!пїегїасе................................. 967 
RTTI Run-Time Type Information .............................. 710 
BSS Block Started by Symbol „ааваа аана ruraa 34 
SIMD Single Instruction, Multiple Data .......................... 254 
BSOD Blue Screen of Death ................................. 958 
DBMS Database Management Ѕуѕёетѕ ......................... 582 
ISA Instruction Set Architecture (Архитектура набора команд) ......... xi 
HPC High-Performance Сотриїїпб............................. 656 
SEH Structured Exception Handling ............................ 50 


ELF Executable and Linkable Format: Формат исполняемых файлов, использую- 


щийся B Linux и некоторых других *МХ ................... 107 
ТІВ Thread Information Block о... сера 358 
РІС Position Independent Code ............................... 685 
NAN Nota а -i о аа e a ш шж 4с ж кк a a a a a яс 1283 
МОР No Operation ....................................... 9 
BEQ (PowerPC, ARM) Branch if Equal ........................... 127 
BNE (PowerPC, ARM) Branch if Not Едца!......................... 272 
BLR (PowerPC) Branch to Link ВАебї<їег.......................... 1048 
XOR eXclusive OR (исключающее «ИЛИ») ....................... 1292 
MCU Microcontroller Unit нео a ааа аа e G 626 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


ВАМ Random-Access Метогу................................ 550 
ССС GNU Compiler Collection ................................ 5 
EGA Enhanced Graphics Адарїтег.............................. 1254 
VGA Video Graphics Array .................................. 1254 
API Application Programming |пїеїасе.......................... 793 
ASCII American Standard Code for Information Interchange ............ 371 
ASCIIZ ASCII Zero (А5СІІ-строка заканчивающаяся нулем) ........... 124 
1464 Intel Architecture 64 (їапшт)............................ 584 
EPIC Explicitly Parallel Instruction Computing . . .................... 1250 
OOE Out-of-Order Ехесиїїоп................................. 586 
MSDN Microsoft Developer МеїмогкК............................ 784 
STL (Си++) Standard Template Library ......................... 719 
PODT (Си++) Plain Old ОаїаТуре............................. 735 
HDD Hard Disk Drive: o s. saaa cics re а алала аа ааа a E a А 751 


VM Virtual Memory (виртуальная память) 


WRK Windows Research Кегпе!............................... 918 
GPR General Purpose Registers (регистры общего пользования)........ 2 
SSDT System Service Dispatch ТаЫе . . . ........................ 958 
ВЕ Reverse Епдіпеегіпд . . .......... 0... 1272 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


BCD Binary-Coded Decimal ................................. 575 
BOM Byte ОгйегМагк..................................... 904 
GDB GNU Оеһбиддег...................................... 65 
ЕР Fame Pointer орел ш ро оное жаш ш койш жо} 32 
МВА Master Boot Весога................................... 912 
JPE Jump Parity Even (инструкция x86) ......................... 305 
CIDR Classless Inter-Domain Routing ........................... 611 


STMFD Store Multiple Full Descending (инструкция ARM) 


LDMFD Load Multiple Full Descending (инструкция ARM) 


STMED Store Multiple Empty Descending (инструкция ARM) ........... 41 
LDMED Load Multiple Empty Descending (инструкция ARM) ........... 41 
STMFA Store Multiple Full Ascending (инструкция АВМ).............. 42 
LDMFA Load Multiple Full Ascending (инструкция ARM) .............. 42 
STMEA Store Multiple Empty Ascending (инструкция ARM) ............ 42 
LDMEA Load Multiple Empty Ascending (инструкция ARM) ............ 42 
APSR (ARM) Application Program Status Аед!5їег................... 330 
FPSCR (ARM) Floating-Point Status and Control Register .............. 330 
RFC Request for Comments ................................. 910 
TOS Тор of Stack (вершина стека) ............................ 843 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


LVA (Java) Local Variable Array (массив локальных переменных)........ 851 
JVM Java Virtual Machine ................................... х 
JIT Just-In-Time compilation ................................. 841 
CDFS Compact Disc File System „4.......%....9+%99з шшш EEE 926 


CD Compact Disc 


ADC Analog-to-Digital СоОпмеег.............................. 922 
EOF End of File (конец файла)............................... 116 
MMU Memory Management Уп .............................. 711 
DES Data Encryption Standard ............................... 576 
MIME Multipurpose Internet Mail Extensions ...................... 576 
DBI Dynamic Binary Instrumentation ........................... 665 
XML Extensible Markup Language ............................. 799 
JSON JavaScript Object Notation .............................. 799 
URL Uniform Resource Locator ............................... 5 
ISP Internet Service Provider ................................ 1195 
ТУ mitalization ЕЕ рем e e a i a oaie i наа онош а аа а а i xii 
RSA Rivest Shamir Adleman серое tend da deaa ama шш. 1206 
CPRNG Cryptographically secure PseudoRandom Number Generator ...... 1207 
GIB GIDDY ro a D Pa im ae жш e OOR a ооо зая аа НОВ 1224 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


IDE Integrated development environment ........................ 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 


Glossary 


anti-pattern Нечто широко известное как плохое решение. 44, 103, 585 


atomic operation «отоџос̧» означает «неделимый» в греческом языке, так что 
атомарная операция — это операция которая гарантированно не будет 
прервана другими тредами. 815, 1012 


basic block группа инструкций, не имеющая инструкций переходов, а также 
не имеющая переходов в середину блока извне. В IDA он выглядит как 
просто список инструкций без строк-разрывов . 882, 1255, 1257 


саНее Вызываемая функция. 90, 133, 136, 585, 943, 947, 948, 1309 
caller Функция вызывающая другую функцию. 8, 9, 11, 63, 135, 585, 941, 948 


compiler intrinsic Специфичная для компилятора функция не являющаяся обыч- 
ной библиотечной функцией. Компилятор вместо её вызова генерирует 
определенный машинный код. Нередко, это псевдофункции для опреде- 
ленной инструкции CPU. Читайте больше:. 1296 


CP/M Control Program for Microcomputers: очень простая дисковая ОС использо- 
вавшаяся перед MS-DOS. 1143 


dongle Небольшое устройство подключаемое K ІРТ-порту для принтера (в npo- 
шлом) или к USB. 1047 


епаіаппеѕѕ Порядок байт. 29, 106, 442, 1292 
GiB Гибибайт: 230 или 1024 мебибайт или 1073741824 байт. 22 


һеар (куча) обычно, большой кусок памяти предоставляемый ОС, так что при- 
кладное ПО может делить его как захочет. та!ос()/гее() работают с Ky- 
чей. 42, 444, 714, 717, 718, 735, 737, 758, 759, 800, 970, 971 


jump offset Часть опкода JMP или jcc инструкции, просто прибавляется к ag- 
ресу следующей инструкции, и так вычисляется новый РС. Может быть 
отрицательным. 172, 173, 1287 
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leaf function Функция не вызывающая больше никаких функций. 39, 44 


link register (RISC) Регистр в котором обычно записан адрес возврата. Это поз- 
воляет вызывать |еа!-функции без использования стека, т.е. быстрее. 44, 
1048, 1305, 1307 


loop unwinding Это когда вместо организации цикла на п итераций, компиля- 
тор генерирует п копий тела цикла, для экономии на инструкциях, обес- 
печивающих сам цикл. 243 


пате mangling применяется как минимум в Си++, где компилятору нужно 
закодировать имя класса, метода и типы аргументов в одной строке, ко- 
торая будет внутренним именем функции. читайте также здесь: 3.19.1 
(стр. 690). 690, 895, 896 


Мам не число: специальные случаи чисел с плавающей запятой, обычно сиг- 
нализирующие об ошибках . 301, 323, 1254 


NEON АКА «Advanced SIMD» — от ARM. 1306 
МОР «по operation», холостая инструкция. 929 


МТАР! АРІ доступное только в линии Windows МТ. Большей частью не докумен- 
тировано Місгоѕой-ом. 1020 


padding Padding в английском языке означает набивание подушки чем-либо 
для придания ей желаемой (большей) формы. В компьютерных науках, 
padding означает добавление к блоку дополнительных байт, чтобы он имел 
нужный размер, например, 2” байт.. 907 


РОВ (Win32) Файл с отладочной информацией, обычно просто имена функций, 
но иногда имена аргументов функций и локальных переменных. 895, 974, 
1020, 1022, 1029, 1030, 1120 


POKE Инструкция языка BASIC записывающая байт по определенному адресу. 
930 


register allocator Функция компилятора распределяющая локальные перемен- 
ные по регистрам процессора. 262, 393, 542 


reverse engineering процесс понимания как устроена некая вещь, иногда, с 
целью клонирования оной. іу, 1296 


security cookie Случайное значение, разное при каждом исполнении. Читай- 
те больше об этом тут. 1000 


stack frame Часть стека, в которой хранится информация, связанная с теку- 
щей функцией: локальные переменные, аргументы функции, ВА, и т. д.. 
92, 131, 602, 603, 1000 


stdout standard output. 28, 49, 204 


thunk function Крохотная функция делающая только одно: вызывающая Apy- 
гую функцию. 30, 57, 501, 1048, 1060 


Если вы заметили опечатку, ошибку или имеете какие-то либо соображения, 
пожелания, пожалуйста, напишите мне: мои адреса. Спасибо! 
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tracer Моя простейшая утилита для отладки. Читайте больше об этом тут: 

7.2.3 (стр. 1014). 246-248, 783, 900, 915, 919, 920, 994, 1123, 1131, 1137, 
1140, 1246 


user mode Режим СРО с ограниченными возможностями в котором он испол- 
няет прикладное ПО. ср.. 1070 


Windows МТ Windows МТ, 2000, ХР, Vista, 7, 8, 10. 370, 538, 825, 826, 905, 958, 
972, 1011, 1147, 1296 


мога (слово) тип данных помещающийся в GPR. В компьютерах старше персо- 
нальных, память часто измерялась не в байтах, а в словах. 574, 576-579, 
722, 802 


xoring нередко применяемое в английском языке, означает применение one- 
рации XOR. 1000, 1064, 1068 


вещественное число числа, которые могут иметь точку. в Си/Си+ +это float 
и double. 282 


декремент Уменьшение на 1. 240, 264, 566, 1287, 1290, 1297 
инкремент Увеличение на 1. 22, 240, 245, 248, 264, 1286, 1287 


интегральный тип данных обычные числа, но не вещественные. могут ис- 
пользоваться для передачи булевых типов и перечислений (епитегаїйопѕ). 
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произведение Результат умножения. 131, 293, 524, 556, 1244, 1245 


среднее арифметическое сумма всех значений, разделенная на их количе- 
ство. 658 


указатель стека Регистр указывающий на место в стеке. 13, 15, 26, 41, 42, 
48, 58, 73, 76, 99, 133, 827, 940, 942-944, 1280, 1288, 1305 


хвостовая рекурсия Это когда компилятор или интерпретатор превращает 
рекурсию (с которой возможно это проделать, т.е. хвостовую) в итерацию 
для эффективности. 607 


частное Результат деления. 282, 285, 287, 288, 293, 555, 629, 660 
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280, 576 
zlib, 802, 1080 


Алгоритм умножения Бута, 281 

Аномалии компиляторов, 191, 383, 403, 
425, 622, 676, 1247 

Базовый адрес, 972 

Взлом ПО, 19, 198, 782 

Глобальные переменные, 103 

Двоичное дерево, 744 

Двусвязный список, 722 

Динамически подгружаемые библиоте- 
ки, 30 

Дональд Э. Кнут, 579 

Использование дгер, 248, 332, 894, 915, 
919, 1122 

Компоновщик, 109, 690 

Конвейер RISC, 178 

Не-числа (NaNs), 323 

ОЗУ, 109 
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ООП 
Полиморфизм, 690 
Обратная польская запись, 337 
ПЗУ, 109, 110 
Переполнение буфера, 347, 354, 1000 
Перфокарты, 337 
Правила де Моргана, 1265 
Режим Thumb-2, 29 
Режим обратной связи по шифротексту, 
1084 
Рекурсия, 40, 43, 606 
Тай гесигѕіоп, 607 
Сборщик мусора, 873 
Си++, 1125 
С++11, 735, 951 
ostream, 710 
References, 712 
ВТТІ, 710 
STL, 894 
std::forward_list, 734 
std::list, 722 
std::map, 744 
std::set, 744 
std::string, 713 
std::vector, 735 
исключения, 988 
Синтаксис AT&T, 16, 51 
Синтаксис Intel, 16, 24 
Синтаксический сахар, 203 
Стандартная библиотека Си 
аоса(), 48, 361, 585, 988 
аѕѕегі(), 368, 910 
atexit(), 721 
atoi(), 633, 1107 
сІоѕе(), 964 
exit(), 593 
fread(), 797 
{гее(), 585, 586, 759 
fwrite(), 797 
getenv(), 1109 
localtime(), 838 
localtime_r(), 454 
Іопојтр, 802 
Іопојтр(), 204 
malloc(), 445, 585, 759 
тетсрг(), 1291 
memcmp(), 583, 651, 913, 1293 
тетсру(), 16, 90, 648, 801, 1289 
теттоуе(), 801 


гпегтѕеї(), 337, 646, 1137, 1292 
ореп(), 964 
ром(), 295 
puts(), 28 
qsort(), 493 
гапа(), 432, 899, 1027, 1029, 1075 
геаа(), 797, 964 
геаіос(), 585 
scanf(), 89 
зе тр, 802 
strcat(), 652 
strcmp(), 583, 643, 964 
ѕїгсру(), 16, 646, 1076 
strlen(), 261, 536, 645, 669, 1291 
strstr(), 592 
Ете(), 838 
{оиррег(), 678 
ма агд, 659 
va_list, 663 
ургїпїї, 663 
write(), 797 
Стек, 41, 130, 204 
Переполнение стека, 43 
Стековый фрейм, 92 
Тэггированные указатели, 768 
Фортран, 372, 653, 760, 896 
Хейзенбаги, 810 
Хеш-функции, 586 
Эдсгер Дейкстра, 760 
Элементы языка Си 
С99, 146 
bool, 389 
restrict, 653 
variable length arrays, 361 
const, 13, 110, 589 
for, 240, 609 
if, 162, 203 
ptrdiff_t, 786 
return, 14, 117, 145 
Short-circuit, 668, 671, 1263 
switch, 201, 203, 213 
while, 261 
Запятая, 1262 
Пост-декремент, 565 
Пост-инкремент, 565 
Пре-декремент, 565 
Пре-инкремент, 565 
Указатели, 90, 99, 146, 492, 541, 763 
Энтропия, 1171 
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адресно-независимый код, 25, 959 
кластеризация, 1205 
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